Vulnérabilité dans FreeRDP (implémentation RDP)

Date de publication :

Une vulnérabilité a été découverte dans FreeRDP, implémentation libre du protocole RDP (bureau à distance). Un attaquant distant (ou local sous certaines conditions) exploitant cette vulnérabilité peut corrompre la mémoire du processus client, ou causer un déni de service.

CVE-2020-13398 [Score CVSS v3 : 8.3] : Une vulnérabilité de type écriture hors-limites a été découverte dans FreeRDP. Lorsque spécifiquement paramétré sur un serveur, le logiciel peut causer une corruption de la mémoire du client utilisée dans des processus cryptographiques sensibles, voire provoquer un déni de service. Un attaquant distant disposant de son propre serveur FreeRDP peut exploiter cette vulnérabilité, tout comme un attaquant local pouvant affecter les paramètres nécessaires.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Corruption de mémoire

    Déni de service

Criticité

    Score CVSS v3 : 8.3

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

    FreeRDP avant la version 2.1.1

CVE

    CVE-2020-13398

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour FreeRDP vers une version supérieure ou égale à 2.1.1

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens