ГлавнаяБаза уязвимостей БДУ → BDU:2024-03401
10критическая

BDU:2024-03401 (CVE-2024-32658)

Уязвимость RDP-клиента FreeRDP, связанная с чтением за границами памяти, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-05-02
Описание

Уязвимость RDP-клиента FreeRDP связана с чтением за границами памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПUbuntu (22.04 LTS)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Ubuntu (23.10)FreeRDP (от 3.5.0 до 3.5.1)Ubuntu (24.04 LTS)FreeRDP (от 2.11.6 до 2.11.7)ОСОН ОСнова Оnyx (до 2.12)МСВСфера (9.5)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Использование рекомендаций:
Для FreeRDP:
https://github.com/FreeRDP/FreeRDP/commit/1a755d898ddc028cc818d0dd9d49d5acff4c44bf
https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-vpv3-m3m9-4c2v

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-32658

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-32658

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6759-1
https://ubuntu.com/security/notices/USN-6752-1

Для ОС Astra Linux:
обновить пакет freerdp2 до 2.11.7-0astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет freerdp2 до 2.11.7-0astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Обновление программного обеспечения freerdp2 до версии 2.11.7+repack2-4osnova2u1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9092?lang=ru

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/FreeRDP/FreeRDP/commit/1a755d898ddc028cc818d0dd9d49d5acff4c44bfhttps://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-vpv3-m3m9-4c2vhttps://oss-fuzz.com/testcase-detail/4852534033317888https://oss-fuzz.com/testcase-detail/6196819496337408https://vuldb.com/?id.261815https://security-tracker.debian.org/tracker/CVE-2024-32658https://access.redhat.com/security/cve/cve-2024-32658https://ubuntu.com/security/notices/USN-6759-1
Проверьте безопасность своего сайта и почты → Полная проверка домена