Критические уязвимости в HP Teradici PCoIP затрагивают 15 млн конечных точек

Компания HP предупредила о критических уязвимостях в клиенте Teradici PCoIP для Windows, Linux и macOS, которые затрагивают 15 млн конечных точек. Поставщик компьютеров и программного обеспечения обнаружил, что Teradici содержит недавно обнаруженную уязвимость синтаксического анализа сертификата OpenSSL, которая вызывает бесконечный цикл отказа в обслуживании и множественные уязвимости целочисленного переполнения в Expat.

Teradici PCoIP — проприетарный протокол удаленного рабочего стола, лицензированный многими поставщиками продуктов виртуализации, приобретенный HP в 2021 году и с тех пор используемый в ее собственных продуктах. Согласно официальному сайту, продукты Teradici PCoIP развернуты на 15 млн конечных точек, поддерживая правительственные учреждения, воинские части, игровые студии, вещательные корпорации, новостные организации и пр.

Компания HP сообщила о десяти уязвимостях, три из которых имеют критический уровень опасности и получили оценку в 9,8 балла по шкале CVSS.

Одной из наиболее опасных проблем является уязвимость отказа в обслуживании в OpenSSL (CVE-2022-0778), вызванная синтаксическим анализом вредоносного сертификата. Эксплуатация проблемы вызывает цикл, из-за которого программное обеспечение перестанет отвечать на запросы.

Уязвимости целочисленного переполнения (CVE-2022-22822, CVE-2022-22823 и CVE-2022-22824) в libexpat потенциально могут привести к неконтролируемому потреблению ресурсов, повышению привилегий и выполнению удаленного кода.

Пользователям настоятельно рекомендуется обновиться до версии 22.01.3 или более поздней, в которой используются версии OpenSSL 1.1.1n и libexpat 2.4.7.