安全公告/【CVE-2023-39350】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:freerdp
CVSS评分:7.5
发现日期:2024-08-14
修复日期:2024-10-12
修复版本:freerdp-2.11.1-1

漏洞描述

FreeRDP是根据Apache许可证发布的远程桌面协议(RDP)的免费实现。此问题仅影响客户。整数下溢导致DOS(例如,由于带有默认编译标志的“WINPR_ASSERT”而中止)。当提供的blockLen不足,并且没有执行适当的长度验证时,会发生整数欠流,导致拒绝服务(DOS)漏洞。此问题已在2.11.0和3.0.0-beta3版本中得到解决。建议用户升级。此漏洞没有已知的解决方法。

漏洞判定

执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复

修复方式

软件包升级
dnf install freerdp

补丁

参考

https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-rrrv-3w42-pffh
https://github.com/FreeRDP/FreeRDP/commit/e204fc8be5a372626b13f66daf2abafe71dbc2dc
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OH2ATH2BKDNKCJAU4WPPXK4SHLE3UJUV/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A6LLDAPEXRDJOM3PREDDD267SSNT77DP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IHMTGKCZXJPQOR5ZD2I4GPDNP2DKRXMF/
https://lists.debian.org/debian-lts-announce/2023/10/msg00008.html
https://security.gentoo.org/glsa/202401-16