FERRAMENTAS LINUX: Atualização de segurança do Debian para o freerd., aviso Debian LTS: DLA-2356-1

domingo, 30 de agosto de 2020

Atualização de segurança do Debian para o freerd., aviso Debian LTS: DLA-2356-1



Confira !



Várias vulnerabilidades foram relatadas contra FreeRDP, um servidor de código aberto e implementação de cliente do protocolo Microsoft RDP. CVE-2014-0791
-------------------------------------------------- -----------------------
Consultivo Debian LTS DLA-2356-1                 debian-lts@lists.debian.org
https://www.debian.org/lts/security/ Mike Gabriel
30 de agosto de 2020 https://wiki.debian.org/LTS
-------------------------------------------------- -----------------------

Pacote: freerdp
Versão: 1.1.0 ~ git20140921.1.440916e + dfsg1-13 + deb9u4
CVE ID: CVE-2014-0791 CVE-2020-11042 CVE-2020-11045 CVE-2020-11046
                 CVE-2020-11048 CVE-2020-11058 CVE-2020-11521 CVE-2020-11522
                 CVE-2020-11523 CVE-2020-11525 CVE-2020-11526 CVE-2020-13396
                 CVE-2020-13397 CVE-2020-13398

Várias vulnerabilidades foram relatadas contra o FreeRDP, um software de código aberto
implementação de servidor e cliente do protocolo Microsoft RDP.

CVE-2014-0791

    Um estouro de inteiro na função license_read_scope_list em
    libfreerdp / core / license.c em FreeRDP permitido RDP remoto
    servidores para causar uma negação de serviço (falha do aplicativo) ou possivelmente
    têm outro impacto não especificado por meio de um grande valor ScopeCount em um Scope
    Listar em um pacote de Solicitação de Licença de Servidor.

CVE-2020-11042

    No FreeRDP, havia uma leitura fora dos limites em update_read_icon_info.
    Ele permitiu a leitura de uma quantidade de memória do cliente definida pelo invasor (32 bits
    unsigned -> 4GB) para um buffer intermediário. Isso poderia ter sido usado
    para travar o cliente ou armazenar informações para recuperação posterior.

CVE-2020-11045

    No FreeRDP, havia uma leitura fora do limite em
    update_read_bitmap_data que permitiu que a memória do cliente fosse lida para um
    buffer de imagem. O resultado exibido na tela como cor.

CVE-2020-11046

    No FreeRDP, havia uma busca fora dos limites do fluxo em
    update_read_synchronize que poderia ter levado a um posterior out-of-bounds
    ler.

CVE-2020-11048

    No FreeRDP, havia uma leitura fora dos limites. Só é permitido abortar
    uma sessão. Nenhuma extração de dados foi possível.

CVE-2020-11058

    No FreeRDP, um fluxo fora dos limites busca em
    rdp_read_font_capability_set pode ter levado a um posterior out-of-bounds
    ler. Como resultado, um cliente ou servidor manipulado pode ter forçado um
    desconectar devido a uma leitura de dados inválida.

CVE-2020-11521

    libfreerdp / codec / planar.c no FreeRDP tinha uma gravação fora dos limites.

CVE-2020-11522

    libfreerdp / gdi / gdi.c no FreeRDP teve uma leitura fora dos limites.

CVE-2020-11523

    libfreerdp / gdi / region.c no FreeRDP tinha um estouro de número inteiro.

CVE-2020-11525

    libfreerdp / cache / bitmap.c no FreeRDP teve uma leitura fora dos limites.

CVE-2020-11526

    libfreerdp / core / update.c no FreeRDP teve uma leitura fora dos limites.

CVE-2020-13396

    Uma vulnerabilidade de leitura fora dos limites (OOB) foi detectada em
    ntlm_read_ChallengeMessage em
    winpr / libwinpr / sspi / NTLM / ntlm_message.c.

CVE-2020-13397

    Uma vulnerabilidade de leitura fora dos limites (OOB) foi detectada em
    security_fips_decrypt em libfreerdp / core / security.c devido a um
    valor não inicializado.

CVE-2020-13398

    Uma vulnerabilidade de gravação fora dos limites (OOB) foi detectada em
    crypto_rsa_common em libfreerdp / crypto / crypto.c.

Para o Debian 9 stretch, esses problemas foram corrigidos na versão
1.1.0 ~ git20140921.1.440916e + dfsg1-13 + deb9u4.

Recomendamos que você atualize seus pacotes freerdp.

Para o status de segurança detalhado do freerdp, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/freerdp

Mais informações sobre os avisos de segurança Debian LTS, como se inscrever
essas atualizações em seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://wiki.debian.org/LTS

-

mike gabriel, também conhecido como sunweaver (desenvolvedor Debian)
fon: +49 (1520) 1976 148

Impressão digital GnuPG: 9BFB AEE8 6C0A A5FF BF22 0782 9AF4 6B30 2577 1B31
mail: sunweaver@debian.org , https://sunweavers.net

Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário