Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06362: Уязвимость RDP-клиента FreeRDP, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю получить доступ на чтение, изменение или удаление аудио/видео данных

Описание уязвимости	Уязвимость RDP-клиента FreeRDP связана с выходом операции за границы буфера в памяти при использовании параметра командной строки /video. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление аудио/видео данных
Вендор	ООО «Ред Софт», АО «ИВК», Free software foundation
Наименование ПО	РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, FreeRDP
Версия ПО	7.3 (РЕД ОС) - (Альт 8 СП) до 2.8.1 (FreeRDP)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) АО «ИВК» Альт 8 СП -
Тип ошибки	Чтение за границами буфера, Раскрытие информации
Идентификатор типа ошибки	CWE-125 CWE-200
Класс уязвимости	Уязвимость кода
Дата выявления	12.10.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:N/A:N CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для FreeRDP: https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1 https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-6cf9-3328-qrvh Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-yadra-os-cve-2022-2078-cve-2022-2588-cve-2022-2585-cve-2022-2586-cve-2022/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Компенсирующие меры: При невозможности использования обновления программного обеспечения следует не использовать параметр командной строки /video для доступа к аудио/видео данным
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1 https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-6cf9-3328-qrvh https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/ https://nvd.nist.gov/vuln/detail/CVE-2022-39283 https://altsp.su/obnovleniya-bezopasnosti/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-39283
Прочая информация	Данные уточняются

Последние изменения