તાજેતરમાં પાવેલ ચેરેમુષ્કીન ડીઇ કpersસ્પરસ્કી લેબએ વીએનસી રીમોટ accessક્સેસ સિસ્ટમના વિવિધ અમલીકરણોનું વિશ્લેષણ કર્યું (વર્ચ્યુઅલ નેટવર્ક કમ્પ્યુટિંગ) અને 37 નબળાઈઓ ઓળખી કા .ી મેમરી સમસ્યાઓ કારણે.
VNC સર્વર અમલીકરણોમાં નબળાઈઓ મળી માત્ર એક અધિકૃત વપરાશકર્તા દ્વારા જ શોષણ કરી શકાય છે અને જ્યારે વપરાશકર્તા કોઈ હુમલાખોર દ્વારા નિયંત્રિત સર્વરથી કનેક્ટ થાય છે ત્યારે ક્લાયંટ કોડમાં નબળાઈઓ પરના હુમલા શક્ય છે.
કેસ્પર્સકી બ્લોગ પર, તેઓ ટિપ્પણી કરે છેઅને આ નબળાઈઓનો નીચેની રીતે ઉપયોગ કરી શકાય છે:
વી.એન.સી. એપ્લિકેશન્સમાં બે ભાગો હોય છે: કમ્પ્યુટર પર ઇન્સ્ટોલ કરેલો સર્વર કે જેનો તમારો કર્મચારી દૂરથી કનેક્ટ કરે છે, અને ક્લાયંટ જે ડિવાઇસથી ચાલે છે જ્યાંથી તેઓ કનેક્ટ કરે છે. સર્વર બાજુ નબળાઈઓ ઘણી ઓછી જોવા મળે છે, જે હંમેશાં થોડી સરળ હોય છે અને તેથી તેમાં ભૂલો ઓછા હોય છે. જો કે, અમારા સીઇઆરટી નિષ્ણાતોએ તપાસ હેઠળની એપ્લિકેશનોના બંને ભાગોમાં ભૂલો શોધી કા .્યા, જોકે ઘણા કિસ્સાઓમાં સત્તાધિકાર વિના સર્વર પર હુમલો અશક્ય થઈ શકે છે.
નબળાઈઓ વિશે
અલ્ટ્રાવીએનસી પેકેજમાં મોટાભાગની નબળાઈઓ મળી હતી, ફક્ત વિંડોઝ પ્લેટફોર્મ માટે ઉપલબ્ધ છે. કુલ, અલ્ટ્રાવીએનસીમાં 22 નબળાઈઓ ઓળખવામાં આવી હતી. 13 નબળાઈઓ સિસ્ટમ પર કોડ એક્ઝેક્યુશન તરફ દોરી શકે છે, 5 મેમરી વિસ્તારોની સામગ્રીને લીક કરી શકે છે, અને 4 સેવાને નકારી શકે છે.
આ બધી નબળાઈઓ આવૃત્તિ 1.2.3.0 માં નિશ્ચિત કરવામાં આવી હતી.
જ્યારે ખુલ્લી LibVNC લાઇબ્રેરી છે (લિબવીએનએસસીવર અને લિબવીએનસીક્લિયન્ટ), જે વર્ચ્યુઅલબોક્સમાં વપરાય છે, 10 નબળાઈઓ ઓળખવામાં આવી હતી. 5 નબળાઈઓ (CVE-2018-20020, CVE-2018-20019, CVE-2018-15127, CVE-2018-15126, CVE-2018-6307) બફર ઓવરફ્લોને કારણે થઈ હતી અને કોડ એક્ઝેક્યુશન તરફ દોરી શકે છે. 3 નબળાઈઓ માહિતી લિકેજ તરફ દોરી શકે છે; 2 સેવા નકારી.
વિકાસકર્તાઓએ બધી સમસ્યાઓ પહેલાથી જ સુધારી દીધી છે- મોટાભાગનાં ફિક્સ લિબવીએનસીસર્વર 0.9.12 પ્રકાશનમાં શામેલ છે, પરંતુ હજી સુધી બધા ફિક્સ ફક્ત માસ્ટર શાખામાં જ પ્રતિબિંબિત થાય છે અને જનરેટ કરેલા વિતરણોને અપડેટ કરે છે.
ટાઈટવીએનસી 1.3 માં (ક્રોસ-પ્લેટફોર્મ લેગસી શાખાનું પરીક્ષણ), કારણ કે વર્તમાન સંસ્કરણ 2.x ફક્ત વિન્ડોઝ માટે જ પ્રકાશિત થયું છે), 4 નબળાઈઓ મળી. પ્રારંભિક આરએફબીસીએક્શન, rfbServerCutText, અને HandleCoRREBBP કાર્યોમાં બફર ઓવરફ્લોને કારણે ત્રણ મુદ્દાઓ (CVE-2019-15679, CVE-2019-15678, CVE-2019-8287) થાય છે અને કોડ એક્ઝેક્યુશન તરફ દોરી શકે છે.
એક સમસ્યા (સીવીઇ -2019-15680) સેવા નકાર તરફ દોરી જાય છે. ગયા વર્ષે ટાઈટવીએનસી વિકાસકર્તાઓને આ મુદ્દા વિશે જાણ કરવામાં આવી હોવા છતાં, નબળાઈઓ દૂર કરવામાં આવી નથી.
ક્રોસ પ્લેટફોર્મ પેકેજમાં ટર્બોવીએનસી (ટાઈટવીએનસી 1.3 નો કાંટો, જે લિજ્જપેગ-ટર્બો લાઇબ્રેરીનો ઉપયોગ કરે છે), ફક્ત એક નબળાઇ મળી (CVE-2019-15683) છે, પરંતુ તે ખતરનાક છે અને જો સર્વર પર પ્રમાણિત .ક્સેસ હોય તો તે તમારા કોડ એક્ઝેક્યુશનને ગોઠવવાનું શક્ય બનાવે છે જેથી બફર ઓવરફ્લો સાથે વળતરની દિશાને નિયંત્રિત કરવી શક્ય છે. સમસ્યા 23 Augustગસ્ટના રોજ સુધારેલ હતી અને વર્તમાન સંસ્કરણ 2.2.3 માં દેખાતી નથી.
જો તમે તેના વિશે વધુ જાણવા માંગતા હો તમે મૂળ પોસ્ટમાં વિગતો ચકાસી શકો છો. કડી આ છે.
પેકેજોના સુધારાઓ નીચેની રીતે કરી શકાય છે.
libvncserver
લાઇબ્રેરી કોડ તમે તેને GitHub પરના ભંડારમાંથી ડાઉનલોડ કરી શકો છો (કડી આ છે) આ ક્ષણે સૌથી વર્તમાન સંસ્કરણ ડાઉનલોડ કરવા માટે તમે ટર્મિનલ ખોલી શકો છો અને તેમાં નીચેના લખો:
wget https://github.com/LibVNC/libvncserver/archive/LibVNCServer-0.9.12.zip
સાથે અનઝિપ કરો:
unzip libvncserver-LibVNCServer-0.9.12
તમે આની સાથે ડિરેક્ટરી દાખલ કરો:
cd libvncserver-LibVNCServer-0.9.12
અને તમે આ સાથે પેકેજ બનાવો:
mkdir build cd build cmake .. cmake --build .
ટર્બોવીએનસી
આ નવા સંસ્કરણ પર અપડેટ કરવા માટે, ફક્ત નવીનતમ સ્થિર સંસ્કરણ પેકેજ ડાઉનલોડ કરોછે, જે મેળવી શકાય છે નીચેની કડી.
પેકેજનું ડાઉનલોડ થઈ ગયું, હવે તમે તેને બે વાર ક્લિક કરીને ઇન્સ્ટોલ કરી શકો છો તેના પર અને સોફ્ટવેર સેન્ટરને ઇન્સ્ટોલેશનની કાળજી લે છે અથવા તે તેઓ તેમના પસંદીદા પેકેજ મેનેજર અથવા ટર્મિનલથી કરી શકે છે.
તેઓ પોતાને પોઝિશન કરીને બાદમાં કરે છે જ્યાં ડાઉનલોડ કરેલું પેકેજ તેમના ટર્મિનલમાં છે અને તેમાં તેમને ફક્ત ટાઇપ કરવું પડશે:
sudo dpkg -i turbovnc_2.2.3_amd64.deb