偵測

openSUSE 安全性更新:LibVNCServer (openSUSE-2015-377)

high Nessus Plugin ID 83803

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

LibVNCServer 已更新至 0.9.10 版,可修正數個安全性和非安全性問題。

同時已修正以下問題:

- 從 buildRequires 中移除 xorg-x11-devel,X 程式庫並未直接使用/連結

- libvncserver-0.9.10-ossl.patch:若已植入 PRNG,則更新,而不進行 RAND_load_file('/dev/urandom', 1024)。(其一律位於 linux 上)

- 0.9.10 版本的更新

+ 將整個專案從 sourceforge 移至 https://libvnc.github.io/。

+ 清除現在使用 autoreconf 的 autotools 建構系統。

+ 將 noVNC HTML5 用戶端更新至最新版本。

+ 將 x11vnc 來源分割至單獨存放庫,其位於 https://github.com/LibVNC/x11vnc

+ 將 vncterm 來源分割至單獨存放庫,其位於 https://github.com/LibVNC/vncterm

+ 將 VisualNaCro 來源分割至單獨存放庫,其位於 https://github.com/LibVNC/VisualNaCro

+ 合併 Debian 修補程式。

+ 修正某些安全性相關緩衝區溢位情況。

+ 新增相容性標頭以在原生 Windows 8 上建立 LibVNCServer/LibVNCClient 建構。

+ 將 LZO 更新至 2.07 版,修正了 CVE-2014-4607。

+ 從 KDE/krfb 合併修補程式。

+ 現在可在無 IPv4 的情況下執行 IPv6。

+ 修正 scale.c 中的釋放後使用問題。

- 更新 Url 並將來源下載至新專案首頁

- 移除 LibVNCServer-0.9.9-no_x11vnc.patch;上游將其分割出主 tarball

- 將 libvncserver-ossl.patch 重定基底至上游變更 > libvncserver-0.9.10-ossl.patch

- 移除 linuxvnc 子套件;像 x11vnc 一樣,其已分割出,但遭棄用且不受維護。

解決方案

更新受影響的 LibVNCServer 套件。

另請參閱

https://github.com/LibVNC/VisualNaCro

https://github.com/LibVNC/vncterm

https://github.com/LibVNC/x11vnc

http://libvnc.github.io/./

Plugin 詳細資訊

嚴重性: High

ID: 83803

檔案名稱: openSUSE-2015-377.nasl

版本: 2.5

類型: local

代理程式: unix

已發布: 2015/5/26

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Medium

基本分數: 6.8

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

風險因素: High

基本分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

弱點資訊

CPE: p-cpe:/a:novell:opensuse:libvncserver-debugsource, p-cpe:/a:novell:opensuse:libvncserver-devel, p-cpe:/a:novell:opensuse:libvncclient0, p-cpe:/a:novell:opensuse:libvncclient0-debuginfo, p-cpe:/a:novell:opensuse:libvncserver0, p-cpe:/a:novell:opensuse:libvncserver0-debuginfo, cpe:/o:novell:opensuse:13.2

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2015/5/13

弱點發布日期: 2020/2/12

參考資訊

CVE: CVE-2014-4607