検出

Debian DLA-2264-1 : libvncserver セキュリティ更新

medium Nessus プラグイン ID 137907

Language:

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

VNCサーバーおよびクライアントプロトコルの実装であるlibVNC(libvncserver Debianパッケージ)に、複数の脆弱性が発見されました。

CVE-2019-20839

LibVNCServerのlibvncclient/sockets.cに、長いソケットファイル名によるバッファオーバーフローがありました。

CVE-2020-14397

libvncserver/rfbregion.cに、NULLポインターデリファレンスがありました。

CVE-2020-14399

バイト整列されたデータが、libvncclient/rfbproto.cのuint32_tポインターからアクセスされました。

CVE-2020-14400

バイト整列されたデータが、libvncserver/translate.cのuint16_tポインターからアクセスされました。

CVE-2020-14401

libvncserver/scale.cで、pixel_valueの整数オーバーフローがありました。

CVE-2020-14402

libvncserver/corre.cでは、エンコーディングによる境界外アクセスが可能でした。

CVE-2020-14403

libvncserver/hextile.cでは、エンコーディングによる境界外アクセスが可能でした。

CVE-2020-14404

libvncserver/rre.cでは、エンコーディングによる境界外アクセスが可能でした。

CVE-2020-14405

libvncclient/rfbproto.cは、TextChatのサイズを制限しません。

Debian 8 'Jessie'では、これらの問題はバージョン0.9.9+dfsg2-6.1+deb8u8で修正されました。

libvncserver パッケージをアップグレードすることを推奨します。

注:Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるパッケージをアップグレードしてください。

参考資料

https://lists.debian.org/debian-lts-announce/2020/06/msg00035.html

https://packages.debian.org/source/jessie/libvncserver

プラグインの詳細

深刻度: Medium

ID: 137907

ファイル名: debian_DLA-2264.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2020/7/1

更新日: 2024/3/5

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 4.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P

CVSS スコアのソース: CVE-2020-14401

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:libvncserver-dev, p-cpe:/a:debian:debian_linux:libvncclient0, cpe:/o:debian:debian_linux:8.0, p-cpe:/a:debian:debian_linux:libvncserver0-dbg, p-cpe:/a:debian:debian_linux:libvncclient0-dbg, p-cpe:/a:debian:debian_linux:libvncserver-config, p-cpe:/a:debian:debian_linux:linuxvnc, p-cpe:/a:debian:debian_linux:libvncserver0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/6/30

脆弱性公開日: 2020/6/17

参照情報

CVE: CVE-2019-20839, CVE-2020-14397, CVE-2020-14399, CVE-2020-14400, CVE-2020-14401, CVE-2020-14402, CVE-2020-14403, CVE-2020-14404, CVE-2020-14405