ALT-PU-2022-7139-1

BDU:2022-06969

HIGH7.5

Уязвимость функции zgfx_decompress_segment() декодера ZGFX реализации протокола удалённого рабочего стола FreeRDP, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2022-11-25Изменено: 2025-01-29

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2022-39316

BDU:2022-06970

HIGH7.5

Уязвимость канала перенаправления USB (urbdrc) реализации протокола удалённого рабочего стола FreeRDP, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2022-11-25Изменено: 2025-01-29

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2022-39318

BDU:2022-06971

MEDIUM5.5

Уязвимость канала перенаправления USB (urbdrc) реализации протокола удалённого рабочего стола FreeRDP, позволяющая нарушителю считать связанные данные и отправить их обратно на сервер

Опубликовано: 2022-11-25Изменено: 2025-01-29

CVSS 3.xСРЕДНЯЯ 5.5

CVSS:3.x/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

Ссылки

CVE-2022-39320

BDU:2022-06972

MEDIUM4.6

Уязвимость декодера ZGFX реализации протокола удалённого рабочего стола FreeRDP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2022-11-25Изменено: 2025-01-29

CVSS 3.xСРЕДНЯЯ 4.6

CVSS:3.x/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:L

CVSS 2.0СРЕДНЯЯ 4.6

CVSS:2.0/AV:N/AC:H/Au:S/C:P/I:P/A:P

Ссылки

CVE-2022-39317

BDU:2022-06973

CRITICAL9.1

Уязвимость канала перенаправления USB (urbdrc) реализации протокола удалённого рабочего стола FreeRDP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

Опубликовано: 2022-11-25Изменено: 2025-01-29

CVSS 3.xКРИТИЧЕСКАЯ 9.1

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

CVSS 2.0КРИТИЧЕСКАЯ 9.4

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:C

Ссылки

CVE-2022-39319

BDU:2022-06975

HIGH7.5

Уязвимость канала перенаправления диска реализации протокола удалённого рабочего стола FreeRDP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2022-11-25Изменено: 2025-01-29

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N

Ссылки

CVE-2022-39347

BDU:2022-06976

CRITICAL9.1

Уязвимость канала перенаправления диска реализации протокола удалённого рабочего стола FreeRDP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

Опубликовано: 2022-11-25Изменено: 2025-01-29

CVSS 3.xКРИТИЧЕСКАЯ 9.1

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

CVSS 2.0КРИТИЧЕСКАЯ 9.4

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:C

Ссылки

CVE-2022-41877

CVE-2022-39316

MEDIUM5.7

FreeRDP is a free remote desktop protocol library and clients. In affected versions there is an out of bound read in ZGFX decoder component of FreeRDP. A malicious server can trick a FreeRDP based client to read out of bound data and try to decode it likely resulting in a crash. This issue has been addressed in the 2.9.0 release. Users are advised to upgrade.

Опубликовано: 2022-11-16Изменено: 2025-11-03

CVSS 3.xСРЕДНЯЯ 5.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H

Ссылки

CVE-2022-39317

MEDIUM4.6

FreeRDP is a free remote desktop protocol library and clients. Affected versions of FreeRDP are missing a range check for input offset index in ZGFX decoder. A malicious server can trick a FreeRDP based client to read out of bound data and try to decode it. This issue has been addressed in version 2.9.0. There are no known workarounds for this issue.

Опубликовано: 2022-11-16Изменено: 2024-11-21

CVSS 3.xСРЕДНЯЯ 4.6

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:L

Ссылки

CVE-2022-39318

MEDIUM5.7

FreeRDP is a free remote desktop protocol library and clients. Affected versions of FreeRDP are missing input validation in `urbdrc` channel. A malicious server can trick a FreeRDP based client to crash with division by zero. This issue has been addressed in version 2.9.0. All users are advised to upgrade. Users unable to upgrade should not use the `/usb` redirection switch.

Опубликовано: 2022-11-16Изменено: 2025-11-03

CVSS 3.xСРЕДНЯЯ 5.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H

Ссылки

CVE-2022-39319

MEDIUM4.6

FreeRDP is a free remote desktop protocol library and clients. Affected versions of FreeRDP are missing input length validation in the `urbdrc` channel. A malicious server can trick a FreeRDP based client to read out of bound data and send it back to the server. This issue has been addressed in version 2.9.0 and all users are advised to upgrade. Users unable to upgrade should not use the `/usb` redirection switch.

Опубликовано: 2022-11-16Изменено: 2025-11-03

CVSS 3.xСРЕДНЯЯ 4.6

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:L

Ссылки

CVE-2022-39320

MEDIUM4.6

FreeRDP is a free remote desktop protocol library and clients. Affected versions of FreeRDP may attempt integer addition on too narrow types leads to allocation of a buffer too small holding the data written. A malicious server can trick a FreeRDP based client to read out of bound data and send it back to the server. This issue has been addressed in version 2.9.0 and all users are advised to upgrade. Users unable to upgrade should not use the `/usb` redirection switch.

Опубликовано: 2022-11-16Изменено: 2025-11-03

CVSS 3.xСРЕДНЯЯ 4.6

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:L

Ссылки

CVE-2022-39347

MEDIUM5.7

FreeRDP is a free remote desktop protocol library and clients. Affected versions of FreeRDP are missing path canonicalization and base path check for `drive` channel. A malicious server can trick a FreeRDP based client to read files outside the shared directory. This issue has been addressed in version 2.9.0 and all users are advised to upgrade. Users unable to upgrade should not use the `/drive`, `/drives` or `+home-drive` redirection switch.

Опубликовано: 2022-11-16Изменено: 2025-11-03

CVSS 3.xСРЕДНЯЯ 5.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Ссылки

CVE-2022-41877

MEDIUM4.6

FreeRDP is a free remote desktop protocol library and clients. Affected versions of FreeRDP are missing input length validation in `drive` channel. A malicious server can trick a FreeRDP based client to read out of bound data and send it back to the server. This issue has been addressed in version 2.9.0 and all users are advised to upgrade. Users unable to upgrade should not use the drive redirection channel - command line options `/drive`, `+drives` or `+home-drive`.

Опубликовано: 2022-11-16Изменено: 2025-11-03

CVSS 3.xСРЕДНЯЯ 4.6

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:L

Ссылки

Обновление пакета freerdp в ветке sisyphus_mipsel

Закрытые проблемы (14)

Уязвимость функции zgfx_decompress_segment() декодера ZGFX реализации протокола удалённого рабочего стола FreeRDP, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость канала перенаправления USB (urbdrc) реализации протокола удалённого рабочего стола FreeRDP, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость декодера ZGFX реализации протокола удалённого рабочего стола FreeRDP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации