Debians sikkerhedsbulletin

DSA-4737-1 xrdp -- sikkerhedsopdatering

Rapporteret den:
29. jul 2020
Berørte pakker:
xrdp
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 964573.
I Mitres CVE-ordbog: CVE-2020-4044.
Yderligere oplysninger:

Ashley Newson opdagede at XRDP sessions manager havde en lammelsesangrebssårbarhed. En lokal angriber kunne yderligere drage nytte af fejlen til at udgive sig for at være XRDP sessions manager, og opsnappe vilkårlige brugerloginoplysninger, som overføres til XRDP, godkende og afvise vilkårlige loginoplysninger eller til kapre eksisterende xorgxrdp-sessions.

I den stabile distribution (buster), er dette problem rettet i version 0.9.9-1+deb10u1.

Vi anbefaler at du opgraderer dine xrdp-pakker.

For detaljeret sikkerhedsstatus vedrørende xrdp, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/xrdp