LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3370-1 xrdp

Bulletin d'alerte Debian

DLA-3370-1 xrdp -- Mise à jour de sécurité pour LTS

Date du rapport :

30 mars 2023

Paquets concernés :

xrdp

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-23468, CVE-2022-23478, CVE-2022-23479, CVE-2022-23483, CVE-2022-23484, CVE-2022-23493.

Plus de précisions :

Plusieurs accès en mémoire hors limites et des dépassements de tampon ont été corrigés dans xrdp, un projet au code source ouvert fournissant une invite graphique de connexion sur des machines distantes en utilisant RDP (Remote Desktop Protocol) de Microsoft.

• CVE-2022-23468

  Les versions de xrdp inférieures à 0.9.21 contenaient un dépassement de tampon dans la fonction xrdp_login_wnd_create(). Aucun contournement de ce problème n’est connu.

• CVE-2022-23478

  Les versions de xrdp inférieures à 0.9.21 contenaient une écriture hors limites dans la fonction xrdp_mm_trans_process_drdynvc_channel_open(). Aucun contournement de ce problème n’est connu.

• CVE-2022-23479

  Les versions de xrdp inférieures à 0.9.21 contenaient un dépassement de tampon dans la fonction xrdp_mm_chan_data_in(). Aucun contournement de ce problème n’est connu.

• CVE-2022-23483

  Les versions de xrdp inférieures à 0.9.21 contenaient une lecture hors limites dans la fonction libxrdp_send_to_channel(). Aucun contournement de ce problème n’est connu.

• CVE-2022-23484

  Les versions de xrdp inférieures à 0.9.21 contenaient un dépassement d'entier dans la fonction xrdp_mm_process_rail_update_window_text(). Aucun contournement de ce problème n’est connu.

• CVE-2022-23493

  Les versions de xrdp inférieures à 0.9.21 contenaient une lecture hors limites dans la fonction xrdp_mm_trans_process_drdynvc_channel_close(). Aucun contournement de ce problème n’est connu.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 0.9.9-1+deb10u2.

Nous vous recommandons de mettre à jour vos paquets xrdp.

Pour disposer d'un état détaillé sur la sécurité de xrdp, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/xrdp.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.