BDU:2020-02923

Опубликовано: 04 окт. 2019

Источник: fstec

CVSS2: 5

EPSS Низкий

Описание

Уязвимость реализации протокола удалённого рабочего стола FreeRDPr связана с неосвобождением ресурса после истечения действительного срока его эксплуатирования. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

Canonical Ltd.

ООО «РусБИТех-Астра»

Novell Inc.

Free Software Foundation, Inc.

АО «Концерн ВНИИНС»

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

Ubuntu

Astra Linux Special Edition

Astra Linux Common Edition

OpenSUSE Leap

FreeRDP

freerdp2

ОС ОН «Стрелец»

Версия ПО

7 (Red Hat Enterprise Linux)

9 (Debian GNU/Linux)

18.04 LTS (Ubuntu)

1.6 «Смоленск» (Astra Linux Special Edition)

2.12 «Орёл» (Astra Linux Common Edition)

8 (Red Hat Enterprise Linux)

15.0 (OpenSUSE Leap)

15.1 (OpenSUSE Leap)

8 (Debian GNU/Linux)

10 (Debian GNU/Linux)

19.10 (Ubuntu)

20.04 LTS (Ubuntu)

до 1.0.2 включительно (FreeRDP)

2.0.0 RC4 (FreeRDP)

2.0.0 Beta1 (FreeRDP)

2.0.0 RC0 (FreeRDP)

2.0.0 RC1 (FreeRDP)

2.0.0 RC2 (FreeRDP)

2.0.0 RC3 (FreeRDP)

до 1.0.2 включительно (freerdp2)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Canonical Ltd. Ubuntu 18.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. OpenSUSE Leap 15.0

Novell Inc. OpenSUSE Leap 15.1

Сообщество свободного программного обеспечения Debian GNU/Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Canonical Ltd. Ubuntu 19.10

Canonical Ltd. Ubuntu 20.04 LTS

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для freerdp2:

Обновление программного обеспечения до 2.0.0~git20190204.1.2693389a+dfsg1-1+deb10u1 или более поздней версии

Для Debian:

Обновление программного обеспечения (пакета freerdp2) до 2.0.0~git20190204.1.2693389a+dfsg1-1+deb10u1 или более поздней версии

Для Astra Linux:

Обновление программного обеспечения (пакета freerdp2) до 2.0.0~git20190204.1.2693389a+dfsg1-1+deb10u1 или более поздней версии

Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для программных продуктов Novell Inc.:

https://lists.opensuse.org/opensuse-security-announce/2019-12/msg00004.html

https://lists.opensuse.org/opensuse-security-announce/2019-12/msg00005.html

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2019-17177

Для Ubuntu:

https://usn.ubuntu.com/4379-1/

Для ОС ОН «Стрелец»:

Обновление программного обеспечения freerdp2 до версии 2.3.0+dfsg1-2osnova1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-17177
CVE

EPSS

Процентиль: 75%

0.00872

Низкий

5 Medium

CVSS2

Связанные уязвимости

CVE-2019-17177

CVSS3: 7.5

ubuntu

больше 6 лет назад

libfreerdp/codec/region.c in FreeRDP through 1.1.x and 2.x through 2.0.0-rc4 has memory leaks because a supplied realloc pointer (i.e., the first argument to realloc) is also used for a realloc return value.