FreeRDP — это бесплатная реализация протокола удаленного рабочего стола. До версии 3.24.2 уязвимость двойного освобождения в kerberos_AcceptSecurityContext() и kerberos_InitializeSecurityContextA() (WinPR, winpr/libwinpr/sspi/Kerberos/kerberos.c) может привести к сбою в работе любых клиентов FreeRDP в системах, где настроен Kerberos и/или Kerberos U2U (член Samba AD или krb5 для NFS). Сбой происходит во время разрыва соединения NLA и требует неудачной попытки аутентификации.
Эта проблема исправлена в версии 3.24.2.
Показать оригинальное описание (EN)
FreeRDP is a free implementation of the Remote Desktop Protocol. Prior to version 3.24.2, a double-free vulnerability in kerberos_AcceptSecurityContext() and kerberos_InitializeSecurityContextA() (WinPR, winpr/libwinpr/sspi/Kerberos/kerberos.c) can cause a crash in any FreeRDP clients on systems where Kerberos and/or Kerberos U2U is configured (Samba AD member, or krb5 for NFS). The crash is triggered during NLA connection teardown and requires a failed authentication attempt. This issue has been patched in version 3.24.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Freerdp Freerdp
cpe:2.3:a:freerdp:freerdp:*:*:*:*:*:*:*:*
|
— |
3.24.2
|