ГлавнаяБаза уязвимостей БДУ → BDU:2024-03220
10критическая

BDU:2024-03220

Уязвимость функции nsc_rle_decode() RDP-клиента FreeRDP, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-24
Описание

Уязвимость функции nsc_rle_decode() RDP-клиента FreeRDP связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)АЛЬТ СП 10FreeRDP (до 3.5.0)FreeRDP (до 2.11.6)ОСОН ОСнова Оnyx (до 2.11)МСВСфера (9.5)
Способ устранения

Использование рекомендаций:
Для FreeRDP:
https://www.freerdp.com/2024/04/17/2_11_6-release
https://github.com/FreeRDP/FreeRDP/releases/tag/2.11.6
https://github.com/FreeRDP/FreeRDP/releases/tag/3.5.0

Для ОС Альт 8 СП и Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения freerdp2 до версии 2.11.7+repack1-1osnova1

Для ОС Astra Linux:
обновить пакет freerdp2 до 2.11.7-0astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет freerdp2 до 2.11.7-0astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет freerdp2 до 2.11.7-0astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9092?lang=ru

Для ОС Astra Linux:
обновить пакет freerdp2 до 2.11.7-0astra2~sm1.6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://safe-surf.ru/upload/VULN-new/VULN.2024-04-19.1.pdfhttps://www.freerdp.com/2024/04/17/2_11_6-releasehttps://github.com/FreeRDP/FreeRDP/releases/tag/2.11.6https://github.com/FreeRDP/FreeRDP/releases/tag/3.5.0https://github.com/FreeRDP/FreeRDP/pull/10077https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-23c5-cp23-h2h5https://www.cybersecurity-help.cz/vdb/SB2024042305https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена