BDU:2022-06360: Уязвимость RDP-клиента FreeRDP, связанная с использованием неинициализированного ресурса, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных

Описание уязвимости

Уязвимость RDP-клиента FreeRDP связана с использованием неинициализированного ресурса при обработке параметра командной строки /parallel. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление данных

Вендор

ООО «РусБИТех-Астра», Red Hat Inc., ООО «Ред Софт», АО «ИВК», Free Software Foundation, Inc., АО "НППКТ"

Версия ПО

  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • - (Альт 8 СП)
  • 9 (Red Hat Enterprise Linux)
  • 4.7 (Astra Linux Special Edition)
  • до 2.8.1 (FreeRDP)
  • до 2.7 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Тип ошибки

Раскрытие информации, Использование неинициализированного ресурса

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

12.10.2022

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для FreeRDP:
https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1
https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-c45q-wcpg-mxjq

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-39282

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Компенсирующие меры:
При невозможности использования обновления программного обеспечения следует не использовать параметр командной строки /parallel для параллельного подключения

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения freerdp2 до версии 2.9.0+dfsg1-1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для Astra Linux 1.6 «Смоленск»:
обновить пакет freerdp2 до 2.10.0+dfsg1-1astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Несанкционированный сбор информации
  • Манипулирование ресурсами

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения