БДУ - Уязвимости

BDU:2022-06360: Уязвимость RDP-клиента FreeRDP, связанная с использованием неинициализированного ресурса, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных

Описание уязвимости	Уязвимость RDP-клиента FreeRDP связана с использованием неинициализированного ресурса при обработке параметра командной строки /parallel. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление данных
Вендор	Red Hat Inc., ООО «Ред Софт», АО «ИВК», Free software foundation, АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, FreeRDP, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	8 (Red Hat Enterprise Linux) 7.3 (РЕД ОС) - (Альт 8 СП) 9 (Red Hat Enterprise Linux) до 2.8.1 (FreeRDP) до 2.7 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 8 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) АО «ИВК» Альт 8 СП - Red Hat Inc. Red Hat Enterprise Linux 9 АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (запись в едином реестре российских программ №5913)
Тип ошибки	Раскрытие информации, Использование неинициализированного ресурса
Идентификатор типа ошибки	CWE-200 CWE-908
Класс уязвимости	Уязвимость кода
Дата выявления	12.10.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для FreeRDP: https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1 https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-c45q-wcpg-mxjq Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-39282 Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Компенсирующие меры: При невозможности использования обновления программного обеспечения следует не использовать параметр командной строки /parallel для параллельного подключения Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения freerdp2 до версии 2.9.0+dfsg1-1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1 https://nvd.nist.gov/vuln/detail/CVE-2022-39282 https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/ https://access.redhat.com/security/cve/cve-2022-39282 https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-c45q-wcpg-mxjq https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/ https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-39282
Прочая информация	Данные уточняются

Последние изменения

27.03.2023 Уязвимость микропрограммного обеспечения сервера Siemens TIA Project-Server, позволяющая нарушителю повысить свои привилегии
27.03.2023 Уязвимость ядра браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
27.03.2023 Уязвимость компонента Metrics браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
27.03.2023 Уязвимость интерфейса Web Payments API браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности
27.03.2023 Уязвимость интерфейса Web Payments API браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности
27.03.2023 Уязвимость реализации запросов на получение разрешений сайтов (Permission Prompts) браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности
27.03.2023 Уязвимость набора инструментов для веб-разработки DevTools браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
27.03.2023 Уязвимость технологии WebRTC браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
27.03.2023 Уязвимость компонента Extensions API браузера Google Chrome, позволяющая нарушителю обойти ограничения безопасности
27.03.2023 Уязвимость библиотеки SwiftShader браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»