Bulletin d'alerte Debian

DSA-4737-1 xrdp -- Mise à jour de sécurité

Date du rapport :
29 juillet 2020
Paquets concernés :
xrdp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 964573.
Dans le dictionnaire CVE du Mitre : CVE-2020-4044.
Plus de précisions :

Ashley Newson a découvert que le gestionnaire de sessions XRDP était vulnérable à un déni de service. Un attaquant local peut en outre tirer avantage de ce défaut pour usurper le gestionnaire de sessions XRDP et capturer tout identifiant d'utilisateur soumis à XRDP, approuver ou rejeter des identifiants de connexion arbitraires ou détourner des sessions existantes pour des sessions xorgxrdp.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 0.9.9-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets xrdp.

Pour disposer d'un état détaillé sur la sécurité de xrdp, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/xrdp.