Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06360: Уязвимость RDP-клиента FreeRDP, связанная с использованием неинициализированного ресурса, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных

Описание уязвимости	Уязвимость RDP-клиента FreeRDP связана с использованием неинициализированного ресурса при обработке параметра командной строки /parallel. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление данных
Вендор	Red Hat Inc., ООО «Ред Софт», АО «ИВК», Free software foundation
Наименование ПО	Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, FreeRDP
Версия ПО	8 (Red Hat Enterprise Linux) 7.3 (РЕД ОС) - (Альт 8 СП) 9 (Red Hat Enterprise Linux) до 2.8.1 (FreeRDP)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 8 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) АО «ИВК» Альт 8 СП - Red Hat Inc. Red Hat Enterprise Linux 9
Тип ошибки	Раскрытие информации, Использование неинициализированного ресурса
Идентификатор типа ошибки	CWE-200 CWE-908
Класс уязвимости	Уязвимость кода
Дата выявления	12.10.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для FreeRDP: https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1 https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-c45q-wcpg-mxjq Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-39282 Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Компенсирующие меры: При невозможности использования обновления программного обеспечения следует не использовать параметр командной строки /parallel для параллельного подключения
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1 https://nvd.nist.gov/vuln/detail/CVE-2022-39282 https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/ https://access.redhat.com/security/cve/cve-2022-39282 https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-c45q-wcpg-mxjq https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/ https://altsp.su/obnovleniya-bezopasnosti/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-39282
Прочая информация	Данные уточняются

Последние изменения