El 7 de febrer de 2026 l’equip de seguretat de Debian va publicar l’avís DSA-6123-1 per corregir un defecte crític a xrdp, la implementació lliure del protocol RDP (Remote Desktop Protocol) que tants servidors Linux fan servir per oferir escriptori remot. El forat, registrat com a CVE-2025-68670, es va emportar un CVSS 9.8 i permet executar codi en remot sense presentar credencials.
Què és la vulnerabilitat
Parlem d’un desbordament de buffer en pila (stack-based buffer overflow) provocat per una comprovació de límits mal feta en processar la informació de domini que envia el client durant la fase inicial de la connexió RDP. L’anàlisi dels investigadors de Kaspersky assenyala la funció xrdp_wm_parse_domain_information(): un buffer de pila de 256 bytes (resultIP) rep dades d’un camp de domini que pot arribar a 512 bytes en UTF-16, i ningú valida bé la longitud abans de copiar-les.
Quan el nom de domini comença amb un guió baix (_), el codi cerca un delimitador i copia tot el que queda entre dues seqüències en aquest buffer de 256 bytes. I com que el domini pot créixer de manera imprevisible en passar a UTF-8, un atacant té marge per fabricar un valor que sobreïxi del buffer i sobreescrigui la pila.
El que és greu és que tota aquesta lògica corre abans d’autenticar el client. No calen usuari ni contrasenya vàlids. N’hi ha prou que l’atacant arribi al servei per xarxa per intentar disparar el defecte.
A qui afecta
Afecta qualsevol servidor Linux amb xrdp exposat a la xarxa, sobretot al port RDP estàndard (3389). És de les coses més habituals en servidors corporatius, entorns de teletreball i màquines al núvol que serveixen escriptori remot. Les instal·lacions accessibles directament des d’Internet són les que més s’hi juguen.
Qui va trobar el defecte va ser Denis Skvortsov durant una auditoria de seguretat. L’informe va sortir el 5 de desembre de 2025, l’identificador CVE es va assignar el 24 de desembre de 2025 i el pedaç va entrar a la branca principal del projecte el 27 de gener de 2026.
Gravetat
Ajunta execució remota de codi, zero autenticació i accés per xarxa i tens un defecte de manual en la categoria crítica (CVSS 9.8). Si l’explotació surt bé, pot acabar en el compromís total del sistema, en una denegació de servei o en accés no autoritzat a l’entorn Linux afectat.
Mitigació i pedaç
La recomanació no té volta de full: actualitza xrdp de seguida. Debian va publicar versions corregides:
- Bookworm (oldstable):
0.9.21.1-1+deb12u2 - Trixie (stable):
0.10.1-3.1+deb13u1
A upstream, la correcció va entrar a la branca principal (versió 0.10.5) i es va retroportar a les sèries 0.9.27 i 0.10.4.1.
Per actualitzar a Debian només et cal un apt update && apt upgrade i reiniciar el servei xrdp. I ja que hi ets, no deixis xrdp exposat directament a Internet: deixa’l en xarxes internes, posa’l darrere d’una VPN o un bastió, i tanca l’accés al port 3389 amb el tallafocs.
Si vols reforçar la separació de privilegis al sistema operatiu de sota, també val la pena repassar els mecanismes de control d’accés obligatori del nucli.
Pots consultar la fitxa de la distribució afectada a Debian.
Font
- Avís oficial: Debian Security Advisory DSA-6123-1 (xrdp)
- Detall del CVE: CVE-2025-68670 a NVD