БДУ - Уязвимости

BDU:2022-06360: Уязвимость RDP-клиента FreeRDP, связанная с использованием неинициализированного ресурса, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных

Основная информация
Подробнее

Описание уязвимости

Уязвимость RDP-клиента FreeRDP связана с использованием неинициализированного ресурса при обработке параметра командной строки /parallel. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление данных

Вендор

Red Hat Inc., ООО «Ред Софт», АО «ИВК», Free software foundation, АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, FreeRDP, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

8 (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
- (Альт 8 СП)
9 (Red Hat Enterprise Linux)
до 2.8.1 (FreeRDP)
до 2.7 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
АО «ИВК» Альт 8 СП -
Red Hat Inc. Red Hat Enterprise Linux 9
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (запись в едином реестре российских программ №5913)

Тип ошибки

Раскрытие информации, Использование неинициализированного ресурса

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

12.10.2022

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 3.0: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для FreeRDP:
https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1
https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-c45q-wcpg-mxjq

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-39282

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Компенсирующие меры:
При невозможности использования обновления программного обеспечения следует не использовать параметр командной строки /parallel для параллельного подключения

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения freerdp2 до версии 2.9.0+dfsg1-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Несанкционированный сбор информации
Манипулирование ресурсами

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1
https://nvd.nist.gov/vuln/detail/CVE-2022-39282
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/
https://access.redhat.com/security/cve/cve-2022-39282
https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-c45q-wcpg-mxjq
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2022-39282

Прочая информация