VDB-157642 · CVE-2020-9498 · GCVE-0-2020-9498

Apache Guacamole 迄 1.1.0 RDP メモリ破損

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
7.2	$0-$5k	0.00

要約情報

このたび、Apache Guacamole 迄 1.1.0において、重大に分類される脆弱性が見つかりました。対象となるのは不明な関数コンポーネントRDP Handlerのです。引数の操作が、メモリ破損をもたらします。この脆弱性はCVE-2020-9498という名称で流通しています。リモートで攻撃を実行することが可能です。影響コンポーネントのアップグレードを推奨します。

このたび、Apache Guacamole 迄 1.1.0において、重大に分類される脆弱性が見つかりました。対象となるのは不明な関数コンポーネントRDP Handlerのです。引数の操作が、メモリ破損をもたらします。この脆弱性に対応するCWEの定義は CWE-119 です。この弱点は 2020年07月02日に発表されました（ウェブサイト）。アドバイザリはlists.apache.orgでダウンロードできます。

この脆弱性はCVE-2020-9498という名称で流通しています。 CVEが2020年03月01日に割り当てられました。リモートで攻撃を実行することが可能です。テクニカルな情報はありません。この脆弱性の一般的な利用度は平均を下回っています。今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。

未定義に指定されています。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$5k-$25kでした。

バージョン1.2.0にアップグレードすることで、この問題に対処できます。更新版はguacamole.apache.orgからダウンロードできます。影響コンポーネントのアップグレードを推奨します。脆弱性の公開後、前経過してから対策が公開されました。