検出

Amazon Linux 2 : freerdp、--advisory ALAS2-2026-3199 (ALAS-2026-3199)

high Nessus プラグイン ID 303099

Language:

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている freerdp のバージョンは、2.11.7-1 より前です。したがって、ALAS2-2026-3199 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 FreeRDP はリモートデスクトッププロトコルの無料の実装です。バージョン 3.23.0 より前では、悪意のある RDP サーバーが、GDI サーフェスパイプライン (例: xfreerdp) を使用する FreeRDP クライアントに対して、RDPGFX の ClearCodec サーフェスコマンドで領域外の宛先矩形 (destination rectangle) を送信することで、ヒープバッファオーバーフローを引き起こす可能性があります。
 「gdi_SurfaceCommand_ClearCodec()」ハンドラーは、コマンド矩形が宛先サーフェスの寸法内に収まっているかを検証する「is_within_surface()」を呼び出しません。そのため、攻撃者が制御する「cmd->left」/「cmd->top」(およびサブコーデック矩形オフセット) が、境界強制なしで「surface->data」に書き込む画像コピー処理に到達できる状態になっています。この領域範囲外書き込みは、隣接する「gdiGfxSurface」構造体の「codecs*」ポインターを、攻撃者が制御するピクセルデータで破損させます。「codecs*」の破損により、間接関数ポインター呼び出し (`NSC_CONTEXT.decode` at `nsc.c:500`) が実行され、命令ポインター (RIP) の完全制御が可能になることが、実証済みのエクスプロイトハーネスで確認されています。ユーザーは、バージョン 3.23.0 にアップグレードしてパッチを受け取る必要があります。(CVE-2026-26955)

 FreeRDP はリモートデスクトッププロトコルの無料の実装です。バージョン 3.23.0より前では、RLE planar デコード経路で、「planar_decompress_plane_rle()」が「pDstData」に対して「((nYDst+y) * nDstStep) + (4*nXDst) + nChannel」という式で書き込みを行っていましたが、「(nYDst+nSrcHeight)」が宛先の高さに収まるか、また「(nXDst+nSrcWidth)」が宛先のストライドに収まるかは検証していませんでした。「TempFormat != DstFormat」の場合、「pDstData」は「planar->pTempData」(デスクトップ用のサイズ) になりますが、「nYDst」は **surface** に対して「is_within_surface()」によってのみ検証されます。悪意のある RDP サーバーがこれを悪用し、接続している任意の FreeRDP クライアントに対して、攻撃者が制御するオフセットとピクセルデータを使用したヒープ領域外書き込みを行う可能性があります。領域外書き込みは、一時バッファの末尾から最大 132,096 バイトまで到達し、brk ヒープ上 (デスクトップ <= 128x128) では、隣接する「NSC_CONTEXT」構造体の「decode」関数ポインターが、攻撃者が制御するピクセルデータで上書きされます。これにより、制御フローに関わる破損 (関数ポインターの上書き) が、決定的なヒープレイアウト下で実証されています (例: 「nsc->decode = 0xFF414141FF414141」)。バージョン 3.23.0 では、この脆弱性が修正されています。(CVE-2026-26965)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「yum update freerdp」または「yum update --advisory ALAS2-2026-3199」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com//AL2/ALAS2-2026-3199.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-26955.html

https://explore.alas.aws.amazon.com/CVE-2026-26965.html

プラグインの詳細

深刻度: High

ID: 303099

ファイル名: al2_ALAS-2026-3199.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2026/3/19

更新日: 2026/3/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-26965

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:amazon:linux:freerdp-debuginfo, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:freerdp-devel, p-cpe:/a:amazon:linux:freerdp, p-cpe:/a:amazon:linux:libwinpr, p-cpe:/a:amazon:linux:freerdp-libs, p-cpe:/a:amazon:linux:libwinpr-devel

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/3/19

脆弱性公開日: 2026/2/25

参照情報

CVE: CVE-2026-26955, CVE-2026-26965

IAVA: 2026-A-0257