সম্প্রতি পাভেল চেরেমুশকিন ডিই ক্যাস্পারস্কি ল্যাব ভিএনসি রিমোট অ্যাক্সেস সিস্টেমের বিভিন্ন বাস্তবায়ন বিশ্লেষণ করেছে (ভার্চুয়াল নেটওয়ার্ক কম্পিউটিং) এবং 37 দুর্বলতা চিহ্নিত করে স্মৃতি সমস্যা দ্বারা সৃষ্ট।
ভিএনসি সার্ভার বাস্তবায়নে দুর্বলতা শনাক্ত করা হয়েছে কেবলমাত্র একটি প্রমাণীকৃত ব্যবহারকারী দ্বারা শোষণ করা যেতে পারে এবং যখন কোনও ব্যবহারকারী আক্রমণকারী দ্বারা নিয়ন্ত্রিত কোনও সার্ভারের সাথে সংযোগ করে তখন ক্লায়েন্ট কোডে দুর্বলতার উপর আক্রমণগুলি সম্ভব।
ক্যাসপারস্কি ব্লগে তারা মন্তব্য করেছেএবং এই দুর্বলতাগুলি নিম্নলিখিত উপায়ে ব্যবহার করা যেতে পারে:
ভিএনসি অ্যাপ্লিকেশনগুলিতে দুটি অংশ রয়েছে: আপনার কর্মচারী দূর থেকে সংযোগযুক্ত কম্পিউটারে ইনস্টল করা একটি সার্ভার এবং একটি ক্লায়েন্ট যা ডিভাইস থেকে তারা সংযুক্ত হয় সেটিতে চলে runs সার্ভারের দিক থেকে দুর্বলতাগুলি খুব কম দেখা যায় যা সর্বদা কিছুটা সহজ এবং তাই কম বাগ থাকে। তবে, আমাদের সিইআরটি বিশেষজ্ঞরা তদন্তাধীন অ্যাপ্লিকেশনগুলির উভয় অংশে ত্রুটি আবিষ্কার করেছেন, যদিও বেশিরভাগ ক্ষেত্রে অনুমোদন ছাড়াই সার্ভারের উপর আক্রমণ অসম্ভব হতে পারে।
দুর্বলতা সম্পর্কে
অতি দুর্বলতাগুলি আল্ট্রাভিএনসি প্যাকেজে পাওয়া গেছে, শুধুমাত্র উইন্ডোজ প্ল্যাটফর্মের জন্য উপলব্ধ। মোট, আল্ট্রাভিএনসিতে ২২ টি দুর্বলতা চিহ্নিত করা হয়েছিল। ১৩ টি দুর্বলতা সিস্টেমে কোড সম্পাদন করতে পারে, ৫ টি মেমরি অঞ্চলের বিষয়বস্তু ফাঁস করতে পারে এবং ৪ টি পরিষেবা অস্বীকার করতে পারে।
এই সমস্ত দুর্বলতার সংস্করণ 1.2.3.0 সংস্করণে স্থির করা হয়েছিল।
উন্মুক্ত LibVNC লাইব্রেরিতে থাকাকালীন (LibVNCServer এবং LibVNCClient), যা ভার্চুয়ালবক্সে ব্যবহৃত হয়, ২২ টি দুর্বলতা চিহ্নিত করা হয়েছিল। 5 টি দুর্বলতা (CVE-2018-20020, CVE-2018-20019, CVE-2018-15127, CVE-2018-15126, CVE-2018-6307) বাফার ওভারফ্লো হয়ে গিয়েছিল এবং কোড প্রয়োগের দিকে নিয়ে যেতে পারে। 3 দুর্বলতা তথ্য ফাঁস হতে পারে; 2 পরিষেবা অস্বীকার।
বিকাশকারীরা ইতিমধ্যে সমস্ত সমস্যা সমাধান করেছেন- বেশিরভাগ ফিক্সগুলি LibVNCServer 0.9.12 রিলিজের অন্তর্ভুক্ত রয়েছে, তবে এখনও পর্যন্ত সমস্ত ফিক্সগুলি কেবলমাত্র মাস্টার ব্রাঞ্চে প্রতিফলিত হয় এবং উত্পাদিত বিতরণগুলি আপডেট করে।
টাইটভিএনসি 1.3 এ (ক্রস-প্ল্যাটফর্মের উত্তরাধিকার শাখা পরীক্ষা করা হয়েছে), কারণ বর্তমান সংস্করণ ২.x কেবল উইন্ডোজের জন্য প্রকাশিত হয়েছিল), 4 দুর্বলতাগুলি আবিষ্কার করা হয়েছিল। ইনিশিয়াল আরএফবিসি কানেকশন, rfbServerCutText, এবং HandleCoRREBBP ফাংশনগুলিতে বাফার ওভারফ্লোজনিত কারণে তিনটি ইস্যু (CVE-2019-15679, CVE-2019-15678, CVE-2019-8287) এবং কোড প্রয়োগের দিকে নিয়ে যেতে পারে।
একটি সমস্যা (জন্য CVE-2019-15680) পরিষেবা অস্বীকার বাড়ে। TightVNC বিকাশকারীদের গত বছর এই বিষয়গুলি সম্পর্কে অবহিত করা সত্ত্বেও, দুর্বলতাগুলি অপরিবর্তিত রয়েছে।
ক্রস প্ল্যাটফর্ম প্যাকেজে টার্বোভিএনসি (টাইটভিএনসি ১.৩ এর কাঁটাচামচ, যা লিবিজেপেগ-টার্বো লাইব্রেরি ব্যবহার করে), কেবল একটি দুর্বলতা পাওয়া গেছে (CVE-2019-15683), তবে এটি বিপজ্জনক এবং যদি সার্ভারটিতে অনুমোদনপ্রাপ্ত অ্যাক্সেস পাওয়া যায় তবে এটি আপনার কোডের সম্পাদনকে সংগঠিত করা সম্ভব করে তোলে, যাতে বাফার ওভারফ্লোগুলি দিয়ে ফেরতের দিকটি নিয়ন্ত্রণ করা সম্ভব। সমস্যাটি 23 শে আগস্ট ঠিক করা হয়েছিল এবং বর্তমান সংস্করণ 2.2.3-এ উপস্থিত হয় না।
আপনি যদি এটি সম্পর্কে আরও জানতে চান আপনি মূল পোস্টে বিশদটি পরীক্ষা করতে পারেন। লিঙ্কটি হ'ল এটি।
প্যাকেজ আপডেট হিসাবে নিম্নলিখিত পদ্ধতিতে করা যেতে পারে।
livvncserver
লাইব্রেরির কোড তারা এটি গিটহাবের তাদের সংগ্রহশালা থেকে ডাউনলোড করতে পারেন (লিঙ্কটি হ'ল) এই মুহুর্তে সর্বাধিক বর্তমান সংস্করণটি ডাউনলোড করতে আপনি একটি টার্মিনাল খুলতে পারেন এবং এতে নিম্নলিখিতটি টাইপ করতে পারেন:
wget https://github.com/LibVNC/libvncserver/archive/LibVNCServer-0.9.12.zip
সাথে আনজিপ করুন:
unzip libvncserver-LibVNCServer-0.9.12
আপনি ডিরেক্টরিটি এতে প্রবেশ করুন:
cd libvncserver-LibVNCServer-0.9.12
এবং আপনি এটি দিয়ে প্যাকেজটি তৈরি করেন:
mkdir build cd build cmake .. cmake --build .
টার্বোভিএনসি
এই নতুন সংস্করণে আপডেট করতে, কেবলমাত্র সর্বশেষতম স্থিতিশীল সংস্করণ প্যাকেজটি ডাউনলোড করুন, যা থেকে প্রাপ্ত করা যেতে পারে নিম্নলিখিত লিঙ্ক।
প্যাকেজ ডাউনলোড শেষ, এখন আপনি কেবল এটি ডাবল ক্লিক করে ইনস্টল করতে পারেন এটিতে এবং সফ্টওয়্যার কেন্দ্রটি ইনস্টলেশনটির যত্ন নেবে অথবা তারা এটি তাদের পছন্দের প্যাকেজ ম্যানেজারের সাহায্যে বা টার্মিনাল থেকে করতে পারে।
ডাউনলোড প্যাকেজটি তাদের টার্মিনালে যেখানে রয়েছে সেগুলিতে তারা নিজের অবস্থান স্থির করে পরবর্তী কাজ করে এবং এতে তাদের কেবল টাইপ করতে হয়:
sudo dpkg -i turbovnc_2.2.3_amd64.deb