3e779be6f3
CI / test (3.14, ubuntu-24.04-arm) (push) Waiting to run
CI / lint (push) Failing after 13m4s
CI / test (3.11, ubuntu-latest) (push) Failing after 2m4s
CI / test (3.13, ubuntu-latest) (push) Successful in 13m30s
CI / test (3.14, ubuntu-latest) (push) Successful in 17m21s
CI / test (3.12, ubuntu-latest) (push) Successful in 17m55s
CI / discover-apps-ps (push) Successful in 1m56s
CI / test (3.9, ubuntu-latest) (push) Successful in 13m17s
CI / test (3.10, ubuntu-latest) (push) Successful in 26m21s
CI / audit (push) Successful in 13m38s
Deploy site / deploy (push) Has been cancelled
2.8 KiB
2.8 KiB
보안 정책
English | 한국어
지원 버전
| 버전 | 지원 여부 |
|---|---|
| 최신 | 예 |
취약점 보고
보안 취약점은 GitHub Security Advisories를 통해 보고해 주세요:
보안 취약점에 대해 공개 이슈를 열지 마세요.
포함해야 할 내용
- 설명: 취약점에 대한 명확한 설명
- 재현 단계: 문제를 재현하기 위한 상세한 단계
- 영향: 취약점의 잠재적 영향
- 영향받는 구성 요소: 영향받는 모듈 또는 파일
- 환경:
- 운영 체제 및 버전
- Python 버전
- FreeRDP 버전
- 데스크톱 환경
- 디스플레이 서버 (X11/Wayland)
대응 일정
| 단계 | 기간 |
|---|---|
| 확인 | 48시간 이내 |
| 평가 | 7일 이내 |
| 수정 | 30일 이내 |
범위
다음 영역은 보안 보고의 범위에 포함됩니다:
- 서브프로세스 호출의 명령어 주입: 셸 명령어에 전달되는 검증되지 않은 입력
- 설정 파일의 자격 증명 노출: 평문으로 저장된 비밀번호 또는 비밀 정보
- RDP 세션 하이재킹: 활성 RDP 세션에 대한 무단 접근
- UNC 변환의 경로 탐색: Windows/Linux 경로 변환 조작
- 백엔드 관리를 통한 권한 상승: 컨테이너 또는 VM 백엔드를 통한 무단 권한 획득
범위 외
다음은 범위 밖으로 간주됩니다:
- 물리적 접근이 필요한 공격
- 소셜 엔지니어링 공격
- 서드파티 의존성의 취약점 (해당 업스트림 프로젝트에 보고해 주세요)
보안 모범 사례
이 프로젝트는 다음 보안 관행을 따릅니다:
- 서브프로세스 인자에 대한 입력 검증: 서브프로세스 호출에 전달되는 모든 인자는 검증 및 정제됩니다
- 평문 비밀번호보다 askpass 우선: 비밀번호를 평문으로 저장하는 대신 대화형 비밀번호 프롬프트(askpass)를 사용합니다
- XDG 준수 파일 권한: 설정 파일은 적절한 파일 권한과 함께 XDG Base Directory 사양을 따릅니다
- 코드나 git에 비밀 정보 없음: 비밀 정보, 자격 증명, API 키는 저장소에 절대 커밋하지 않습니다
- TLS 전용 RDP: SecurityLayer=2 (TLS) RDP 채널 암호화 적용; NLA는 127.0.0.1 바인딩 환경에서만 비활성화
- Windows 빌드 고정: 레지스트리 정책으로 Feature update 차단; 보안 업데이트는 정상 설치
- 컨테이너 격리 RDP: RDP 포트는 127.0.0.1에만 바인딩, 네트워크에 노출되지 않음
기여 인정
책임감 있는 공개에 감사드리며, 보고자를 릴리스 노트에 표기합니다 (익명을 원하는 경우 제외).