Debian DLA-380-1：libvncserver 安全性更新

high Nessus Plugin ID 87729

語言:

概要

遠端 Debian 主機缺少一個安全性更新。

說明

libvncserver 上游開發人員 Karl Runge 發現，將 libvncserver 用於處理多個 VNC 連線時，libvncserver 內會發生一個執行緒安全問題，並已解決此問題 [1]。

可惜，(由於 ABI 中斷) 目前無法輕鬆將相關的修補程式反向移植為 Debian squeeze(-lts) 隨附的 libvncserver 0.9.7。

不過，所述的執行緒安全修補程式解決了一個與記憶體損毀有關的問題，這是因為釋放全域變數卻未使其無效化，導致這些變數出現在其他「執行緒」中，尤其是在將 libvncserver 用於處理多個 VNC 連線時特別容易發生此問題。

此 libvncserver 版本已解決所述問題，建議 VNC 使用者升級至此套件版本。

[1] https://github.com/LibVNC/libvncserver/commit/804335f9d296440bb708ca844f5d89b58b50b0c6

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

http://www.nessus.org/u?b268757e

https://lists.debian.org/debian-lts-announce/2016/01/msg00003.html

https://packages.debian.org/source/squeeze-lts/libvncserver

Plugin 詳細資訊

嚴重性: High

ID: 87729

檔案名稱: debian_DLA-380.nasl

版本: 2.3

類型: local

代理程式: unix

系列: Debian Local Security Checks

已發布: 2016/1/5

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:libvncserver-dev, cpe:/o:debian:debian_linux:6.0, p-cpe:/a:debian:debian_linux:libvncserver0-dbg, p-cpe:/a:debian:debian_linux:linuxvnc, p-cpe:/a:debian:debian_linux:libvncserver0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

修補程式發佈日期: 2016/1/4