10критическая
BDU:2020-00624 (CVE-2018-8785)
Уязвимость функции zgfx_decompress() RDP-клиента FreeRDP, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-02-17
Описание
Уязвимость функции zgfx_decompress() RDP-клиента FreeRDP вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)OpenSUSE Leap (42.3)Ubuntu (18.04 LTS)Ubuntu (18.10)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP3)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE Linux Enterprise Workstation Extension (12 SP3)SUSE Linux Enterprise Workstation Extension (12 SP4)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)OpenSUSE Leap (15.0)SUSE Linux Enterprise Workstation Extension (15)SUSE Linux Enterprise Workstation Extension (15 SP1)SUSE Linux Enterprise Software Development Kit (12 SP5)FreeRDP (до 2.0.0-rc4)SUSE Linux Enterprise Workstation Extension (12 SP5)
Способ устранения
Использование рекомендаций:
Для FreeRDP:
https://github.com/FreeRDP/FreeRDP/commit/602f4a2e14b41703b5f431de3154cd46a5750a2d
Для Ubuntu:
https://usn.ubuntu.com/3845-1/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-8785/
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи