Es wurde festgestellt, dass das Apache Guacamole-Remotedesktop-Gateway Zero-Day-Schwachstellen enthält. Die identifizierten Probleme werden als Reverse RDP-Schwachstellen beschrieben, mit denen Kriminelle die Sitzungen übernehmen können. Identifizierte Probleme werden jetzt in der Empfehlung CVE-2020-9497 nachverfolgt.
Zero-Day-Sicherheitslücken in Apache Guacamole-Instanzen: CVE-2020-9497 Beratung zugewiesen
Apache Guacamole als eine der beliebtesten Lösungen für die Einrichtung eines Clientloses Remotedesktop-Gateway scheint von betroffen zu sein mehrere Zero-Day-kritische Sicherheitslücken. Die Nachricht kam nach der Enthüllung der Fehler und ihrer Identifikatoren. Dies ist ein Tool, mit dem die erforderlichen Verbindungen erstellt werden, damit Remotedesktopverbindungen hergestellt werden können. Es unterstützt alle Standardprotokolle, die von den meisten Client-Programmen einschließlich VNC verwendet werden, RDP und SSH. Von Entwurf Guacamole ist eine HTML5-Webanwendung Diese muss auf einem bestimmten Computer bereitgestellt werden, und auf den Server kann über einen einfachen Browser zugegriffen werden.
Die Sicherheitsprobleme im Zusammenhang mit Guacamole sind in zwei Typen unterteilt. Die CVE-2020-9497 beratende Kennung ist den Sicherheitslücken zugeordnet. Die beiden Kategorien sind die folgenden:
- Zero-Day Critical Reverse RDP-Sicherheitslücken - Dies beinhaltet eine Offenlegung von Informationen Fehler, der aussendet Out-of-Bonds-Daten zu den verbundenen Clients anstelle der Server. Dadurch können die Hacker die durchgesickerten Daten erfassen, die über die Netzwerkpakete gesendet werden. Der andere gefährdete Teil scheint ein Audiokanal zu sein, auf den die Kriminellen zugreifen können.
- FreeRPD-Probleme - Es scheint, dass die Hacker auch einen Weg gefunden haben, bestimmte Befehle zu einer Schwäche der FreeRDP-Implementierung zu führen. Die Protokollschwäche wird als kategorisiert Speicherbeschädigung
Die CVE-2020-9498 Beratung wurde auch im Zusammenhang mit den Apache Guacamole-Problemen im Anschluss an die Berichte zugewiesen. Nachdem die Probleme veröffentlicht und die Entwickler Apache benachrichtigt hatten, wurden Korrekturen veröffentlicht, mit denen die Schwachstelle behoben wurde. Aus diesem Grund Wir empfehlen allen Benutzern, ihre Installationen auf die neuesten verfügbaren Versionen zu patchen. Die folgende offizielle gepatchte Version ist mit gekennzeichnet 1.2.0.