Vulnerability BDU:2024-03192: Information
Description
Уязвимость RDP-клиента FreeRDP, связанная с целочисленным переполнением, позволяющая нарушителю выполнить произвольный код
Severity: CRITICAL (9.8) Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Published: April 22, 2024
Modified: April 22, 2024
Fixed packages
Package name | Branch | Fixed in version | Version from repository | Errata ID | Task # | State |
---|---|---|---|---|---|---|
freerdp | sisyphus_e2k | 2.11.7-alt1.1 | 2.11.7-alt2 | ALT-PU-2024-7151-1 | - | Fixed |
freerdp | p10_e2k | 2.11.6-alt1 | 2.11.7-alt2 | ALT-PU-2024-7154-1 | - | Fixed |
References to Advisories, Solutions, and Tools
Vulnerability Status | Подтверждена производителем |
Presence of an exploit | Данные уточняются |
Fix status | Уязвимость устранена |
Software Type | Операционная система, Прикладное ПО информационных систем |
Solution | Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - отключение параметра рендеринга /gfx с помощью флагов командной строки /bpp:32 или /rfx; - использование средств межсетевого экранирования для ограничения удалённого доступа; - использование виртуальных частных сетей для организации удаленного доступа (VPN). Использование рекомендаций производителя: Для FreeRDP: https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-q5h8-7j42-j4r9 https://github.com/FreeRDP/FreeRDP/releases/tag/3.5.0 https://github.com/FreeRDP/FreeRDP/releases/tag/2.11.6 https://github.com/FreeRDP/FreeRDP/pull/10077 Для ОС Альт 8 СП и Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства |
Sources | https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-q5h8-7j42-j4r9 https://github.com/FreeRDP/FreeRDP/releases/tag/3.5.0 https://github.com/FreeRDP/FreeRDP/releases/tag/2.11.6 https://github.com/FreeRDP/FreeRDP/pull/10077 https://altsp.su/obnovleniya-bezopasnosti/ |
Other system identifiers |