安全公告/【CVE-2023-40567】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:超危
影响源码包:freerdp
CVSS评分:9.8
发现日期:2024-08-14
修复日期:2024-10-12
修复版本:freerdp-2.11.1-1

漏洞描述

FreeRDP是根据Apache许可证发布的远程桌面协议(RDP)的免费实现。受影响的版本会在“clear_decompress_bands_data”函数中进行越界写入,其中没有偏移验证。滥用此漏洞可能会导致越界写入。此问题已在2.11.0和3.0.0-beta3版本中得到解决。建议用户升级。此漏洞没有已知的解决方法。

漏洞判定

执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复

修复方式

软件包升级
dnf install freerdp

补丁

参考

https://github.com/FreeRDP/FreeRDP/blob/5be5553e0da72178a4b94cc1ffbdace9ceb153e5/libfreerdp/codec/clear.c#L843-L845
https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-2w9f-8wg4-8jfp
https://github.com/FreeRDP/FreeRDP/blob/5be5553e0da72178a4b94cc1ffbdace9ceb153e5/libfreerdp/codec/clear.c#L612-L618
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OH2ATH2BKDNKCJAU4WPPXK4SHLE3UJUV/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A6LLDAPEXRDJOM3PREDDD267SSNT77DP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IHMTGKCZXJPQOR5ZD2I4GPDNP2DKRXMF/
https://lists.debian.org/debian-lts-announce/2023/10/msg00008.html
https://security.gentoo.org/glsa/202401-16