HP, Windows, Linux ve macOS için Teradici PCoIP istemcisi ve aracısındaki 15 milyon uç noktayı etkileyen yeni kritik güvenlik açıkları konusunda uyarıda bulunuyor.
Bilgisayar ve yazılım satıcısı, Teradici’nin yakın zamanda açıklanan OpenSSL’den etkilendiğini tespit etti. sertifika ayrıştırma hatası Bu, Expat’ta sonsuz bir hizmet reddi döngüsüne ve birden çok tamsayı taşması güvenlik açığına neden olur.
Teradici PCoIP (IP üzerinden PC), birçok sanallaştırma ürünü satıcısına lisanslanmış özel bir uzak masaüstü protokolüdür. 2021’de HP tarafından satın alındıve o zamandan beri kendi ürünlerinde kullanılmaktadır.
Resmi web sitesine göre, Teradici PCoIP ürünleri, devlet kurumlarını, askeri birimleri, oyun geliştirme firmalarını, yayın şirketlerini, haber kuruluşlarını vb. destekleyen 15.000.000 uç noktada konuşlandırılmıştır.
Kritik tamsayı taşması
HP, iki tavsiye belgesinde (1, 2), üçü kritik önem derecesine sahip (CVSS v3 puanı: 9.8), sekizi yüksek önem derecesi ve bir orta dereceli olarak kategorize edildi.
Bu sefer düzeltilen en önemli kusurlardan biri, CVE-2022-0778kötü amaçlarla oluşturulmuş bir sertifikanın ayrıştırılmasıyla tetiklenen OpenSSL’deki bir hizmet reddi hatası.
Kusur, yazılımı tepkisiz hale getiren bir döngüyle sonuçlanacak, ancak ürünün kritik görev uygulamaları göz önüne alındığında, kullanıcılar artık cihazlara uzaktan erişemeyecekleri için böyle bir saldırı oldukça yıkıcı olacaktır.
Bir başka kritik sabit güvenlik açığı grubu, CVE-2022-22822, CVE-2022-22823ve CVE-2022-22824libexpat’taki tüm tamsayı taşması ve geçersiz kaydırma sorunları, potansiyel olarak kontrol edilemeyen kaynak tüketimine, ayrıcalıkların yükselmesine ve uzaktan kod yürütülmesine yol açar.
Geri kalan beş yüksek önem derecesi de tamsayı taşması kusurlarıdır ve CVE-2021-45960, CVE-2022-22825, CVE-2022-22826, CVE-2022-22827 ve CVE-2021-46143 olarak izlenir.
Yukarıdaki güvenlik açıklarından etkilenen ürünler arasında PCoIP istemcisi, istemci SDK’sı, Graphics Agent ve Windows, Linux ve macOS için Standard Agent bulunur.
Tüm sorunları ele almak için, kullanıcıların OpenSSL 1.1.1n ve libexpat 2.4.7 kullanan 22.01.3 veya sonraki bir sürümüne güncelleme yapmaları önerilir.
HP, güvenlik güncelleştirmelerini 4 ve 5 Nisan 2022’de yayımladı, bu nedenle o zamandan beri Teradici’yi zaten güncellediyseniz güvendesiniz.
OpenSSL etkisi
OpenSSL DoS güvenlik açığının etkisi, yaygın dağıtımı nedeniyle yaygındır, bu nedenle bu, felaket saldırılarına yol açan bir kusur olmasa da, yine de önemli bir sorundur.
Geçen ay geç, QNAP uyardı NAS cihazlarının çoğunun CVE-2022-0778’e karşı savunmasız olduğunu ve kullanıcılarını güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaya çağırdı.
Geçen hafta, Palo Alto Networks uyardı VPN, XDR ve güvenlik duvarı ürünü müşterileri aynı, güvenlik güncellemeleri ve azaltmalar sunuyor.