MagicLinux 7freerdp-2.1.1-5.0.3.el7.AXS7 (AXSA:2025-9718:01)

critical Nessus 插件 ID 283198

语言：

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2025-9718:01 公告中提及的多个漏洞的影响。

FreeRDP 是 rdesktop 项目的一个分支。
安全修复：
- CVE-2024-32458修复缺少的输入长度检查
- CVE-2024-32459修复缺少的输入长度检查
- CVE-2024-32460修复 interleaved_decompress 中的越界读取
- CVE-2024-32039修复了整数溢出
- CVE-2024-32040修复缺少的检查
- CVE-2024-32041修复整数溢出 CVE
CVE-2024-32039 FreeRDP 是远程桌面协议的免费实现。如果使用版本低于 3.5.0 或 2.11.6 的 FreeRDP，基于 FreeRDP 的客户端容易受到整数溢出和越界写入漏洞的影响。3.5.0 和 2.11.6 版本的补丁可解决此问题。变通方案为不使用“/gfx”选项（例如，停用“/bpp:32”或“/rfx”（默认启用））。
CVE-2024-32040 FreeRDP 是远程桌面协议的免费实现。如果使用版本低于 3.5.0 或 2.11.6 的 FreeRDP，并使用“NSC”编解码器连接到服务器，基于 FreeRDP 的客户端容易受到整数下溢漏洞的影响。3.5.0 和 2.11.6 版本的补丁可解决此问题。变通方案为不使用 NSC 编解码器（例如，使用“-nsc”）。
CVE-2024-32041 FreeRDP 是远程桌面协议的免费实现。如果使用版本低于 3.5.0 或 2.11.6 的 FreeRDP，基于 FreeRDP 的客户端容易受到越界读取漏洞的影响。3.5.0 和 2.11.6 版本的补丁可解决此问题。变通方案为停用“/gfx”（默认启用），改为设置“/bpp”或“/rfx”选项。
CVE-2024-32458 FreeRDP 是远程桌面协议的免费实现。如果使用版本低于 3.5.0 或 2.11.6 的 FreeRDP，基于 FreeRDP 的客户端容易受到越界读取漏洞的影响。3.5.0 和 2.11.6 版本的补丁可解决此问题。变通方案为使用“/gfx”或“/rfx”模式（默认启用，需要服务器端的支持）。
CVE-2024-32459 FreeRDP 是远程桌面协议的免费实现。如果使用版本低于 3.5.0 或 2.11.6 的 FreeRDP，基于 FreeRDP 的客户端和服务器容易受到越界读取漏洞的影响。3.5.0 和 2.11.6 版本的补丁可解决此问题。目前尚无已知的解决方法。
CVE-2024-32460 FreeRDP 是远程桌面协议的免费实现。如果使用“/bpp:32”旧版的“GDI”绘制路径以及版本低于 3.5.0 或 2.11.6 的 FreeRDP，基于 FreeRDP 的客户端容易受到越界读取漏洞的影响。3.5.0 和 2.11.6 版本的补丁可解决此问题。变通方案是使用新的绘制路径（例如，“/rfx”或“/gfx”选项）。变通方案需要服务器端的支持。
CVE-2024-32659 FreeRDP 是远程桌面协议的免费实现。如果满足“（(nWidth == 0) 且 (nHeight == 0)）”这一条件，基于 FreeRDP 的客户端（版本低于 3.5.1）容易受到越界读取漏洞的影响。3.5.1 版包含针对该问题的补丁。目前尚无已知的解决方法。
CVE-2024-32660 FreeRDP 是远程桌面协议的免费实现。版本低于 3.5.1 的恶意服务器可通过发送较大的无效分配大小，导致 FreeRDP 客户端崩溃。3.5.1 版包含针对该问题的补丁。目前尚无已知的解决方法。
CVE-2024-32661 FreeRDP 是远程桌面协议的免费实现。基于 FreeRDP 的客户端（版本低于 3.5.1）可能容易发生“空”访问和崩溃。3.5.1 版包含针对该问题的补丁。
目前尚无已知的解决方法。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/20902

插件详情

严重性: Critical

ID: 283198

文件名: miracle_linux_AXSA-2025-9718.nasl

版本: 1.1

类型: local

系列: Miracle Linux Local Security Checks

发布时间: 2026/1/13

最近更新时间: 2026/1/13

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: High

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-32659

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:freerdp-libs, p-cpe:/a:miracle:linux:freerdp, p-cpe:/a:miracle:linux:libwinpr-devel, p-cpe:/a:miracle:linux:libwinpr

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2025/3/4

漏洞发布日期: 2024/4/17

参考资料信息

CVE: CVE-2024-32039, CVE-2024-32040, CVE-2024-32041, CVE-2024-32458, CVE-2024-32459, CVE-2024-32460, CVE-2024-32659, CVE-2024-32660, CVE-2024-32661