FreeRDPはApacheライセンスで公開されているリモートデスクトッププロトコル(RDP)の無償実装で、これをベースに構築された数多くのツールを通じて、ワークステーションやサーバーの広範な環境で利用されています。今回リリースされたバージョン3.29.0はセキュリティ、バグ修正、メンテナンスを目的としたアップデートで、22件の勧告に対応しています。

修正内容
今回のコミット群は、コードベース全体にわたる堅牢化作業といえる内容になっています。複数のパッチでは、メディア・チャンネル関連コードに境界チェックや長さチェックが追加されました。具体的には、AV1デコード出力の上限設定、既存のAVC処理と整合させたリージョン矩形のチェック、サーフェスのサイズ不一致を修正するH.264デコーダーの補正などが含まれます。カメラチャンネルにはデータ有効性チェックが加わったほか、コンフィグディスクリプタの読み取り方法に関する修正も施されました。
暗号処理や接続まわりの経路にも手が入っています。あるパッチでは、鍵確立の際にサーバーのランダム値が短すぎる場合にコア側で拒否するようになりました。別のパッチでは、X.509証明書処理においてヌルバイトが埋め込まれているケースの扱いが改善されています。さらに、エンドポイントのFedAuthトークン認証が追加されたほか、Windowsクライアントにはサーバー応答サイズのチェックが導入されました。リソース制限や全般的なランタイム堅牢化に関するコミットも、今回のセキュリティ関連の修正に含まれています。
今回の対応は多くのプラットフォーム上のクライアントに及んでいます。今回のサイクルでは、iOSのビルド修正、Androidのビルド修正、SDLクライアントにおけるクリップボードのMIME形式処理の改善も行われました。
速いリリースペース
FreeRDPはこれまで頻繁にリリースを重ねてきました。バージョン3.29.0は3.28.0のわずか1週間後に登場したもので、春先にかけては数週間おきにリリースが続いていました。3.28.0は機能追加とバグ修正を目的としたリリースで、iOSクライアントの復活やサーバー側の新しいスマートカードAPIが盛り込まれていました。一方、3.29.0はセキュリティを中心としたリリースで、メンテナーのArmin Novak氏いわく、「前回のリリース以降、複数のセキュリティ研究者による非常に厳格なレビューが行われた」成果だといいます。
同ライブラリは、数多くの下流ツールの内部でRDPエンジンとして機能しています。広く組み込まれているコンポーネントに脆弱性があれば、その影響はプロジェクト自身のユーザーの範囲をはるかに超えて波及するため、今回のような協調的な一括修正の価値は一層高まります。
FreeRDP、あるいはそれをベースに構築されたソフトウェアを利用している場合は、プロジェクトのリリースサーバーから3.29.0のアーカイブを入手できます。
翻訳元: https://www.helpnetsecurity.com/2026/07/15/freerdp-3-29-0-security-update/