БДУ - Print

BDU:2022-06360: Уязвимость RDP-клиента FreeRDP, связанная с использованием неинициализированного ресурса, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных

Описание уязвимости	Уязвимость RDP-клиента FreeRDP связана с использованием неинициализированного ресурса при обработке параметра командной строки /parallel. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление данных
Вендор	Red Hat Inc., ООО «Ред Софт», АО «ИВК», Free software foundation, АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП, FreeRDP, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	8 (Red Hat Enterprise Linux), 7.3 (РЕД ОС), - (Альт 8 СП), 9 (Red Hat Enterprise Linux), до 2.8.1 (FreeRDP), до 2.7 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 8 Не указана ООО «Ред Софт» РЕД ОС 7.3 Не указана (запись в едином реестре российских программ №3751) АО «ИВК» Альт 8 СП - Не указана Red Hat Inc. Red Hat Enterprise Linux 9 Не указана АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 Не указана (запись в едином реестре российских программ №5913)
Тип ошибки	Раскрытие информации, Использование неинициализированного ресурса
Идентификатор типа ошибки	CWE-200, CWE-908
Класс уязвимости	Уязвимость кода
Дата выявления	12.10.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS 3.0: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для FreeRDP: https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1 https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-c45q-wcpg-mxjq Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-39282 Для Ред ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/ Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Компенсирующие меры: При невозможности использования обновления программного обеспечения следует не использовать параметр командной строки /parallel для параллельного подключения Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения freerdp2 до версии 2.9.0+dfsg1-1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1 https://nvd.nist.gov/vuln/detail/CVE-2022-39282 https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/ https://access.redhat.com/security/cve/cve-2022-39282 https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-c45q-wcpg-mxjq https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39282-cve-2022-39283/ https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-39282
Прочая информация	Данные уточняются