BDU:2022-06362: Уязвимость RDP-клиента FreeRDP, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю получить доступ на чтение, изменение или удаление аудио/видео данных

Описание уязвимости Уязвимость RDP-клиента FreeRDP связана с выходом операции за границы буфера в памяти при использовании параметра командной строки /video. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление аудио/видео данных
Вендор ООО «Ред Софт», АО «ИВК», Free software foundation
Наименование ПО РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, FreeRDP
Версия ПО
  • 7.3 (РЕД ОС)
  • - (Альт 8 СП)
  • до 2.8.1 (FreeRDP)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Чтение за границами буфера, Раскрытие информации
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 12.10.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для FreeRDP:
https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1
https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-6cf9-3328-qrvh

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-yadra-os-cve-2022-2078-cve-2022-2588-cve-2022-2585-cve-2022-2586-cve-2022/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Компенсирующие меры:
При невозможности использования обновления программного обеспечения следует не использовать параметр командной строки /video для доступа к аудио/видео данным
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения