Récemment Pavel Cheremushkin de Kaspersky Lab a analysé diverses implémentations du système d'accès à distance VNC (Informatique de réseau virtuel) et identifié 37 vulnérabilités causé par des problèmes de mémoire.
Vulnérabilités détectées dans les implémentations de serveur VNC ne peut être exploité que par un utilisateur authentifié et les attaques sur les vulnérabilités dans le code client sont possibles lorsqu'un utilisateur se connecte à un serveur contrôlé par un attaquant.
Sur le blog de Kaspersky, ils commentent queCes vulnérabilités peuvent être exploitées de la manière suivante:
Les applications VNC se composent de deux parties: un serveur installé sur l'ordinateur auquel votre employé se connecte à distance et un client qui s'exécute sur l'appareil à partir duquel il se connecte. Les vulnérabilités sont beaucoup moins fréquentes côté serveur, ce qui est toujours un peu plus facile et donc moins de bugs. Cependant, nos experts CERT ont découvert des erreurs dans les deux parties des applications étudiées, bien que dans de nombreux cas, une attaque sur le serveur puisse être impossible sans autorisation.
À propos des vulnérabilités
La plupart des vulnérabilités ont été trouvées dans le package UltraVNC, disponible uniquement pour la plate-forme Windows. Au total, en UltraVNC 22 vulnérabilités ont été identifiées. 13 vulnérabilités pourraient conduire à l'exécution de code sur le système, 5 pourraient fuir le contenu des zones mémoire, et 4 pourraient conduire à un déni de service.
Toutes ces vulnérabilités ont été corrigées dans la version 1.2.3.0.
Dans la bibliothèque LibVNC ouverte (LibVNCServer et LibVNCClient), qui est utilisé dans VirtualBox, 10 vulnérabilités ont été identifiées. 5 vulnérabilités (CVE-2018-20020, CVE-2018-20019, CVE-2018-15127, CVE-2018-15126, CVE-2018-6307) ont été causées par des débordements de tampon et pourraient conduire à l'exécution de code. 3 vulnérabilités peuvent conduire à des fuites d'informations; 2 au déni de service.
Les développeurs ont déjà résolu tous les problèmes- La plupart des correctifs sont inclus dans la version LibVNCServer 0.9.12, mais jusqu'à présent, tous les correctifs ne sont reflétés que dans la branche principale et les mises à jour générées par les distributions.
Dans TightVNC 1.3 (branche héritée multiplateforme testée), car la version actuelle 2.x a été publiée pour Windows uniquement), 4 vulnérabilités ont été découvertes. Trois problèmes (CVE-2019-15679, CVE-2019-15678, CVE-2019-8287) sont causés par des dépassements de mémoire tampon dans les fonctions InitialiseRFBConnection, rfbServerCutText et HandleCoRREBBP et peuvent conduire à l'exécution de code.
Un problème (CVE-2019-15680) conduit à un déni de service. Bien que les développeurs de TightVNC aient été informés des problèmes l'année dernière, les vulnérabilités restent non corrigées.
Dans le package multiplateforme TurboVNC (fork de TightVNC 1.3, qui utilise la librairie libjpeg-turbo), une seule vulnérabilité trouvée (CVE-2019-15683), mais c'est dangereux et s'il y a un accès authentifié au serveur cela permet d'organiser l'exécution de votre code, de sorte qu'avec les débordements de tampon il est possible de contrôler le sens de retour. Le problème a été résolu le 23 août et n'apparaît pas dans la version actuelle 2.2.3.
Si vous voulez en savoir plus vous pouvez vérifier les détails dans le message d'origine. Le lien est le suivant.
Quant aux mises à jour des packages, elles peuvent être effectuées de la manière suivante.
serveur libvnc
Le code de la bibliothèque ils peuvent le télécharger depuis leur dépôt sur GitHub (le lien est le suivant). Pour télécharger la version la plus récente du moment, vous pouvez ouvrir un terminal et y taper ce qui suit:
wget https://github.com/LibVNC/libvncserver/archive/LibVNCServer-0.9.12.zip
Décompressez avec:
unzip libvncserver-LibVNCServer-0.9.12
Vous entrez dans le répertoire avec:
cd libvncserver-LibVNCServer-0.9.12
Et vous construisez le package avec:
mkdir build cd build cmake .. cmake --build .
TurboVNC
Pour mettre à jour vers cette nouvelle version, il suffit de télécharger le dernier package de version stable, qui peut être obtenu à partir de le lien suivant.
Terminé le téléchargement du package, maintenant vous pouvez simplement l'installer en double-cliquant sur celui-ci et demandez au centre logiciel de s'occuper de l'installation ou ils peuvent le faire avec leur gestionnaire de paquets préféré ou à partir d'un terminal.
Ils font ce dernier en se positionnant là où le package téléchargé est dans leur terminal et dans celui-ci ils n'ont qu'à taper:
sudo dpkg -i turbovnc_2.2.3_amd64.deb