Vulnérabilité dans FreeRDP (implémentation RDP)

Une vulnérabilité a été découverte dans FreeRDP, implémentation libre du protocole RDP (bureau à distance). Un attaquant distant (ou local sous certaines conditions) exploitant cette vulnérabilité peut corrompre la mémoire du processus client, ou causer un déni de service.

CVE-2020-13398 [Score CVSS v3 : 8.3] : Une vulnérabilité de type écriture hors-limites a été découverte dans FreeRDP. Lorsque spécifiquement paramétré sur un serveur, le logiciel peut causer une corruption de la mémoire du client utilisée dans des processus cryptographiques sensibles, voire provoquer un déni de service. Un attaquant distant disposant de son propre serveur FreeRDP peut exploiter cette vulnérabilité, tout comme un attaquant local pouvant affecter les paramètres nécessaires.

Informations
+

Risques

  • Corruption de mémoire

  • Déni de service

Criticité

  • Score CVSS v3 : 8.3

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • FreeRDP avant la version 2.1.1

CVE

  • CVE-2020-13398


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour FreeRDP vers une version supérieure ou égale à 2.1.1

Solution de contournement

  • Aucune solution de contournement n’est disponible