CVE-2023-40589

Опубликовано: 31 авг. 2023

Источник: redhat

CVSS3: 7.5

EPSS Низкий

Описание

FreeRDP is a free implementation of the Remote Desktop Protocol (RDP), released under the Apache license. In affected versions there is a Global-Buffer-Overflow in the ncrush_decompress function. Feeding crafted input into this function can trigger the overflow which has only been shown to cause a crash. This issue has been addressed in versions 2.11.0 and 3.0.0-beta3. Users are advised to upgrade. There are no known workarounds for this issue.

A flaw was found in the FreeRDP implementation. Feeding crafted input into the ncrush_decompress function may cause a buffer overflow, resulting in a crash.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 6	freerdp	Out of support scope
Red Hat Enterprise Linux 7	freerdp	Out of support scope
Red Hat Enterprise Linux 8	freerdp	Will not fix
Red Hat Enterprise Linux 9	freerdp	Fixed	RHSA-2024:2208	30.04.2024

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-120

https://bugzilla.redhat.com/show_bug.cgi?id=2236606freerdp: buffer overflow in ncrush_decompress causes crash with crafted input

EPSS

Процентиль: 28%

0.001

Низкий

7.5 High

CVSS3

Связанные уязвимости

CVE-2023-40589

CVSS3: 4.3

ubuntu

почти 2 года назад

CVE-2023-40589

CVSS3: 4.3

nvd

почти 2 года назад

CVE-2023-40589

CVSS3: 4.3

debian

почти 2 года назад

FreeRDP is a free implementation of the Remote Desktop Protocol (RDP), ...

BDU:2023-05065

CVSS3: 4.3

fstec

около 2 лет назад

Уязвимость функции ncrush_decompress() RDP-клиента FreeRDP, позволяющая нарушителю вызвать отказ в обслуживании

ELSA-2024-2208

oracle-oval

больше 1 года назад

ELSA-2024-2208: freerdp security update (MODERATE)

EPSS

Процентиль: 28%

0.001

Низкий

7.5 High

CVSS3