Vulnerability BDU:2022-06971: Information

Description

Уязвимость канала перенаправления USB (urbdrc) реализации протокола удалённого рабочего стола FreeRDP, позволяющая нарушителю считать связанные данные и отправить их обратно на сервер

Severity: MEDIUM (5.5) Vector: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

Published: Nov. 16, 2022
Modified: Nov. 16, 2022
Error type identifier: CWE-125

Fixed packages

References to Advisories, Solutions, and Tools

Vulnerability Status
Подтверждена производителем
Presence of an exploit
Данные уточняются
Fix status
Уязвимость устранена
Software Type
Операционная система, Прикладное ПО информационных систем
Solution
Использование рекомендаций:
Для FreeRDP:
https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-qfq2-82qr-7f4j

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39319-cve-2022-39318-cve-2022-39317-cve-2022-41877-cve-2/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5734-1

Для программных продуктов  Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-39320

Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Компенсирующие меры:
- пользователи не должны использовать переключатель перенаправления `/usb`.

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения freerdp2 до версии 2.9.0+dfsg1-1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для Astra Linux 1.6 «Смоленск»:
обновить пакет freerdp2 до 2.10.0+dfsg1-1astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Astra Linux:
обновить пакет freerdp2 до 2.11.7-0astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81
Sources
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-freerdp-cve-2022-39319-cve-2022-39318-cve-2022-39317-cve-2022-41877-cve-2/?sphrase_id=88990
https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-qfq2-82qr-7f4j
https://nvd.nist.gov/vuln/detail/CVE-2022-39320
https://ubuntu.com/security/notices/USN-5734-1
https://access.redhat.com/security/cve/CVE-2022-39320
https://altsp.su/obnovleniya-bezopasnosti/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81
Other system identifiers