阿里云漏洞库

漏洞描述

FreeRDP is a free remote desktop protocol library and clients. All FreeRDP based clients when using the `/video` command line switch might read uninitialized data, decode it as audio/video and display the result. FreeRDP based server implementations are not affected. This issue has been patched in version 2.8.1. If you cannot upgrade do not use the `/video` switch.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/FreeRDP/FreeRDP/releases/tag/2.8.1
https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-6cf9-3328-qrvh
https://lists.debian.org/debian-lts-announce/2023/11/msg00010.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202210-24

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	freerdp	freerdp	*		Up to (excluding) 2.8.1
	运行在以下环境
	系统	alibaba_cloud_linux_3	freerdp	*		Up to (excluding) 2.2.0-10.0.1.al8
	运行在以下环境
	系统	alma_linux_8	freerdp	*		Up to (excluding) 2.2.0-10.el8
	运行在以下环境
	系统	alma_linux_9	freerdp	*		Up to (excluding) 2.4.1-5.el9
	运行在以下环境
	系统	amazon_2	freerdp	*		Up to (excluding) 2.2.0-10.amzn2.0.1
	运行在以下环境
	系统	anolis_os_8	freerdp	*		Up to (excluding) 2.2.0-10.0.1
	运行在以下环境
	系统	debian_10	freerdp2	*		Up to (excluding) 2.3.0+dfsg1-2+deb10u4
	运行在以下环境
	系统	debian_12	freerdp2	*		Up to (excluding) 2.8.1+dfsg1-1
	运行在以下环境
	系统	fedora_35	freerdp	*		Up to (excluding) 2.8.1-1.fc35
	运行在以下环境
	系统	fedora_36	freerdp	*		Up to (excluding) 2.8.1-1.fc36
	运行在以下环境
	系统	fedora_37	freerdp	*		Up to (excluding) 2.8.1-1.fc37
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	freerdp	*		Up to (excluding) 2.8.1-1.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	freerdp	*		Up to (excluding) 2.8.1-1.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP1	freerdp	*		Up to (excluding) 2.8.1-1.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	freerdp	*		Up to (excluding) 2.8.1-1.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	freerdp	*		Up to (excluding) 2.8.1-1.ky10
	运行在以下环境
	系统	opensuse_Leap_15.3	freerdp	*		Up to (excluding) 2.1.2-150200.15.21.1
	运行在以下环境
	系统	opensuse_Leap_15.4	freerdp	*		Up to (excluding) 2.4.0-150400.3.9.1
	运行在以下环境
	系统	oracle_8	freerdp	*		Up to (excluding) 2.2.0-10.el8
	运行在以下环境
	系统	oracle_9	freerdp	*		Up to (excluding) 2.4.1-5.el9
	运行在以下环境
	系统	redhat_8	freerdp	*		Up to (excluding) 2.2.0-10.el8
	运行在以下环境
	系统	redhat_9	freerdp	*		Up to (excluding) 2.4.1-5.el9
	运行在以下环境
	系统	ubuntu_18.04	freerdp2	*		Up to (excluding) 2.2.0+dfsg1-0ubuntu0.18.04.4
	运行在以下环境
	系统	ubuntu_20.04	freerdp2	*		Up to (excluding) 2.2.0+dfsg1-0ubuntu0.20.04.4
	运行在以下环境
	系统	ubuntu_22.04	freerdp2	*		Up to (excluding) 2.6.1+dfsg1-3ubuntu2.3
	运行在以下环境
	系统	ubuntu_22.10	freerdp2	*		Up to (excluding) 2.8.1+dfsg1-0ubuntu1

攻击路径

本地
攻击复杂度

复杂
权限要求

无需权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-125	跨界内存读
CWE-908	对未经初始化资源的使用

中危 freerdp freerdp 跨界内存读

漏洞描述

解决建议

参考链接

受影响软件情况