BDU:2022-06360: Уязвимость RDP-клиента FreeRDP, связанная с использованием неинициализированного ресурса, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных

Описание уязвимости Уязвимость RDP-клиента FreeRDP связана с использованием неинициализированного ресурса при обработке параметра командной строки /parallel. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление данных
Вендор Red Hat Inc., ООО «Ред Софт», АО «ИВК», Free software foundation
Наименование ПО Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, FreeRDP
Версия ПО
  • 8 (Red Hat Enterprise Linux)
  • 7.3 (РЕД ОС)
  • - (Альт 8 СП)
  • 9 (Red Hat Enterprise Linux)
  • до 2.8.1 (FreeRDP)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Раскрытие информации, Использование неинициализированного ресурса
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 12.10.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для FreeRDP:
https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1
https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-c45q-wcpg-mxjq

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-39282

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Компенсирующие меры:
При невозможности использования обновления программного обеспечения следует не использовать параметр командной строки /parallel для параллельного подключения
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения