VNCを使用していますか? 約37の脆弱性が発見されたため、更新する必要があります

Darkcrizt

4分

vnc-脆弱性-特集

最近PavelCheremushkin de Kaspersky Labは、VNCリモートアクセスシステムのさまざまな実装を分析しました (仮想ネットワークコンピューティング) 37の脆弱性を特定しました メモリの問題が原因です。

VNCサーバーの実装で検出された脆弱性 認証されたユーザーのみが悪用できます また、ユーザーが攻撃者によって制御されているサーバーに接続すると、クライアントコードの脆弱性に対する攻撃が発生する可能性があります。

Kasperskyブログで、彼らは次のようにコメントしています。eこれらの脆弱性は、次の方法で悪用される可能性があります。

VNCアプリケーションは、従業員がリモートで接続するコンピューターにインストールされているサーバーと、接続元のデバイスで実行されるクライアントのXNUMXつの部分で構成されています。 サーバー側では脆弱性はそれほど一般的ではありません。これは常に少し簡単であるため、バグが少なくなります。 ただし、CERTの専門家は、調査中のアプリケーションの両方の部分にバグを発見しました。ただし、多くの場合、サーバーへの攻撃は許可なしでは不可能である可能性があります。

脆弱性について

ほとんどの脆弱性はUltraVNCパッケージで見つかりました、Windowsプラットフォームでのみ使用できます。 合計で、UltraVNCで 22の脆弱性が特定されました。 13の脆弱性はシステム上でのコード実行につながる可能性があり、5つはメモリ領域のコンテンツをリークする可能性があり、4つはサービス拒否につながる可能性があります。

これらの脆弱性はすべてバージョン1.2.3.0で修正されました。

開いているLibVNCライブラリにいる間 (LibVNCServerおよびLibVNCClient)、VirtualBoxで使用され、 10の脆弱性が特定されました。 5つの脆弱性(CVE-2018-20020、CVE-2018-20019、CVE-2018-15127、CVE-2018-15126、CVE-2018-6307)は、バッファオーバーフローが原因で発生し、コードの実行につながる可能性があります。 3つの脆弱性は、情報漏えいにつながる可能性があります。 2サービス拒否。

開発者はすでにすべての問題を修正しています-ほとんどの修正はLibVNCServer0.9.12リリースに含まれていますが、これまでのところ、すべての修正はマスターブランチにのみ反映され、生成されたディストリビューションを更新します。

TightVNC1.3では (クロスプラットフォームのレガシーブランチがテストされました)、現在のバージョン2.xはWindows専用にリリースされたため)、 4つの脆弱性が発見されました。 2019つの問題(CVE-15679-2019、CVE-15678-2019、CVE-8287-XNUMX)は、InitialiseRFBConnection、rfbServerCutText、およびHandleCoRREBBP関数のバッファオーバーフローが原因で発生し、コードの実行につながる可能性があります。

問題 (CVE-2019-15680) サービス拒否につながります。 昨年TightVNC開発者に問題が通知されたという事実にもかかわらず、脆弱性は未修正のままです。

クロスプラットフォームパッケージ ターボVNC (libjpeg-turboライブラリを使用するTightVNC 1.3のフォーク)、 見つかった脆弱性はXNUMXつだけ (CVE-2019-15683)ただし、危険であり、サーバーへの認証済みアクセスがある場合は、コードの実行を整理できるため、バッファオーバーフローの場合と同様に、戻り方向を制御できます。 この問題は23月2.2.3日に修正され、現在のバージョンXNUMXには表示されません。

あなたがそれについてもっと知りたいなら 詳細は元の投稿で確認できます。 リンクはこちらです。

パッケージの更新については、以下の方法で行うことができます。

libvncserver

ライブラリコード GitHubのリポジトリからダウンロードできます (リンクはこれです)。 この時点で最新バージョンをダウンロードするには、ターミナルを開いて次のように入力します。

wget https://github.com/LibVNC/libvncserver/archive/LibVNCServer-0.9.12.zip

解凍:

unzip libvncserver-LibVNCServer-0.9.12

次のコマンドでディレクトリに入ります。

cd libvncserver-LibVNCServer-0.9.12

そして、次のコマンドでパッケージをビルドします。

mkdir build
cd build
cmake ..
cmake --build .

ターボVNC

この新しいバージョンに更新するには、 最新の安定バージョンパッケージをダウンロードするだけです、から取得できます 次のリンク。

パッケージのダウンロードを完了し、 これで、ダブルクリックするだけでインストールできます その上でソフトウェアセンターにインストールを任せるか、好みのパッケージマネージャーまたはターミナルからインストールを行うことができます。

後者は、ダウンロードしたパッケージが端末のどこにあるかを自分で配置することで行い、その中に次のように入力するだけです。

sudo dpkg -i turbovnc_2.2.3_amd64.deb

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。