Kaspersky'nin güvenlik uzmanları, yaygın olarak kullanılan açık kaynak projeleri Suricata ve FreeRDP'de yedi güvenlik açığı buldu. Bu güvenlik açıklarından ikisi olan CVE-2024-32664 ve CVE-2024-32039, saldırganların savunmasız sistemde rastgele kod çalıştırmasına izin verirken, diğerleri yetkisiz bellek erişimine olanak sağlıyor.
Bu güvenlik açıkları, Suricata ve FreeRDP açık kaynak bileşenlerini entegre eden Kaspersky Thin Client (KTC) ve Kaspersky IoT Secure Gateway (KISG) dahil olmak üzere KasperskyOS tabanlı ürünlerin güvenlik değerlendirmesinin bir parçası olarak yayın öncesi sızma testi sırasında keşfedildi. Kaspersky ekibi bu güvenlik açıklarını derhal ilgili kütüphane geliştiricilerine bildirdi.
Açık kaynak topluluğu bulguları doğruladı ve bulunan açıklara yedi CVE atadı:
FreeRDP:CVE-2024-32041
CVE-2024-32039
CVE-2024-32040
CVE-2024-32458
CVE-2024-32459
CVE-2024-32460
Suricata:CVE-2024-32664
Raporların yanı sıra Kaspersky, FreeRDP'deki sorunların tespit edilmesinde etkili olan fuzzing testlerini de sundu. Açık kaynak topluluğu bu testleri kullanarak yaklaşık 10 güvenlik açığını daha ortaya çıkardı. Tüm güvenlik açıkları, yeni sürümler herkese açık olarak yayınlanmadan önce hem açık kaynaklı projelerde hem de Kaspersky'nin ürünlerinde yamalandı.
Kaspersky Uygulama Güvenliği Uzmanı Denis Skvortsov, şunları söyledi: "'Tasarımla güvenli' ilkesi, sistem mimarisinin ötesine geçerek tüm geliştirme sürecini kapsıyor. Yayınlanmadan önce tüm sistem bileşenlerini titizlikle test ederek, yaygın olarak kullanılan iki açık kaynak projesindeki ciddi sorunların çözülmesine katkıda bulunduk. Suricata ve FreeRDP bakımcılarına bulgularımıza hızlı yanıt verdikleri ve yamaları hızla dağıttıkları için minnettarız."
Kaspersky, kullanıcıların sistemlerinin korunduğundan emin olmak için Suricata ve FreeRDP'nin en son sürümlerine güncelleme yapmalarını tavsiye ediyor. Bu sürümün yayınlandığı sırada en güncel sürümler şunlardı:
Suricata: 6.0.19 and 7.0.5
FreeRDP: 2.11.7 and 3.5.1
