Yayın öncesi sızma testleri sırasında yaygın olarak kullanılan açık kaynak projeleri Suricata ve FreeRDP’de ikisi rastgele kod çalıştırmaya izin verebilecek yedi güvenlik açığı ortaya çıkarıldı.
Kaspersky’nin güvenlik uzmanları, yaygın olarak kullanılan açık kaynak projeleri Suricata ve FreeRDP’de yedi güvenlik açığı buldu. Bu güvenlik açıklarından ikisi olan CVE-2024-32664 ve CVE-2024-32039, saldırganların savunmasız sistemde rastgele kod çalıştırmasına izin verirken, diğerleri yetkisiz bellek erişimine olanak sağlıyor.
Bu güvenlik açıkları, Suricata ve FreeRDP açık kaynak bileşenlerini entegre eden Kaspersky Thin Client (KTC) ve Kaspersky IoT Secure Gateway (KISG) dahil olmak üzere KasperskyOS tabanlı ürünlerin güvenlik değerlendirmesinin bir parçası olarak yayın öncesi sızma testi sırasında keşfedildi. Kaspersky ekibi bu güvenlik açıklarını derhal ilgili kütüphane geliştiricilerine bildirdi.
Açık kaynak topluluğu bulguları doğruladı ve bulunan açıklara yedi CVE atadı:
- FreeRDP:
- CVE-2024-32041
- CVE-2024-32039
- CVE-2024-32040
- CVE-2024-32458
- CVE-2024-32459
- CVE-2024-32460
- Suricata:
- CVE-2024-32664
Raporların yanı sıra Kaspersky, FreeRDP’deki sorunların tespit edilmesinde etkili olan fuzzing testlerini de sundu. Açık kaynak topluluğu bu testleri kullanarak yaklaşık 10 güvenlik açığını daha ortaya çıkardı. Tüm güvenlik açıkları, yeni sürümler herkese açık olarak yayınlanmadan önce hem açık kaynaklı projelerde hem de Kaspersky’nin ürünlerinde yamalandı.
Kaspersky, kullanıcıların sistemlerinin korunduğundan emin olmak için Suricata ve FreeRDP’nin en son sürümlerine güncelleme yapmalarını tavsiye ediyor. Bu sürümün yayınlandığı sırada en güncel sürümler şunlardı:
- Suricata: 6.0.19 and 7.0.5
- FreeRDP: 2.11.7 and 3.5.1
