Vulnérabilité: CVE-2020-4044

Le service xrdp-sesman avant la version 0.9.13.1 peut être écrasé en connectant sur le port 3350 et fournir une charge utile malveillante. Une fois que le xrdp-sesman processus est mort, un attaquant non privilégié sur le serveur pourrait alors procéder à démarrer leur propre service imposteur sesman écoute sur le port 3350. Cela leur permettra de capturer les informations d’identification de l’utilisateur qui sont soumis à xrdp et approuver ou rejeter la connexion arbitraire crédits. Pour les sessions xorgxrdp en particulier, cela permet à un utilisateur non autorisé à pirater une session existante. Ceci est une attaque par débordement de mémoire tampon, donc il peut y avoir un risque d’exécution de code arbitraire ainsi.


https://github.com/neutrinolabs/xrdp/security/advisories/GHSA-j9fv-6fwf-p3g4
https://github.com/neutrinolabs/xrdp/security/advisories/GHSA-j9fv-6fwf-p3g4
https://www.debian.org/security/2020/dsa-4737
https://github.com/neutrinolabs/xrdp/commit/0c791d073d0eb344ee7aaafd221513dc9226762c
https://github.com/neutrinolabs/xrdp/commit/0c791d073d0eb344ee7aaafd221513dc9226762c
https://github.com/neutrinolabs/xrdp/releases/tag/v0.9.13.1
https://github.com/neutrinolabs/xrdp/releases/tag/v0.9.13.1
https://lists.debian.org/debian-lts-announce/2020/08/msg00015.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00036.html
http://lists.opensuse.org/opensuse-security-announce/2020-08/msg00037.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4044


Il est possible de laisser un commentaire en tant qu'utilisateur enregistré du site, accédant par les réseaux sociaux, compte wordpress ou en tant qu'utilisateur anonyme. Si vous souhaitez laisser un commentaire en tant qu'utilisateur anonyme, vous serez informé par courrier électronique d'une réponse possible uniquement si vous saisissez votre adresse électronique (facultatif). L'inclusion de toute donnée dans les champs de commentaires est totalement facultative. Toute personne qui décide de saisir des données accepte le traitement de celles-ci pour les finalités inhérentes au service ou la réponse au commentaire et aux communications strictement nécessaires.


Laisser un commentaire