ГлавнаяБаза уязвимостей БДУ → BDU:2022-07306
10критическая

BDU:2022-07306 (CVE-2022-23480)

Уязвимость функции devredir_proc_client_devlist_announce_req() сервера XRDP, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-12-19
Описание

Уязвимость функции devredir_proc_client_devlist_announce_req() сервера XRDP связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Альт 8 СПAstra Linux Special Edition (4.7)xrdp (до 0.9.21)РОСА ХРОМ (12.4)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение сервера xrdp;
- ограничение возможности доступа к портам, используемым для организации удалённого доступа (3389);
- использование средств межсетевого экранирования для формирования «белого» списка адресов, которым разрешён удаленный доступ.

Использование рекомендаций:
https://github.com/neutrinolabs/xrdp/security/advisories/GHSA-3jmx-f6hv-95wg

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/update-security/document32368550/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2249

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет xrdp до 0.9.21.1-0astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для Astra Linux 1.6 «Смоленск»:
обновить пакет xrdp до 0.9.23-0astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://vuldb.com/ru/?id.215219https://nvd.nist.gov/vuln/detail/CVE-2022-23480https://github.com/neutrinolabs/xrdp/security/advisories/GHSA-3jmx-f6hv-95wghttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://goslinux.fssp.gov.ru/update-security/document32368550/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Проверьте безопасность своего сайта и почты → Полная проверка домена