検出

openSUSE セキュリティ更新:LibVNCServer(openSUSE-2015-377)

high Nessus プラグイン ID 83803

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

LibVNCServer がバージョン 0.9.10 に更新され、いくつかのセキュリティの問題および非セキュリティ問題が修正されました。

次の問題が修正されました:

- xorg-x11-devel を buildRequires から削除します。X ライブラリは直接使用/リンクされません

- libvncserver-0.9.10-ossl.patch:更新してください。PRNG が既にシードされている場合は、RAND_load_file(「/dev/urandom」、1024)を行わないでください。(常に linux 上にあります)

- バージョン 0.9.10 への更新

+ プロジェクト全体を sourceforge から https://libvnc.github.io/ へ移動しました。

+ 現在は autoreconf を使用する自動ツールビルドシステムをクリーンアウトしました。

+ noVNC HTML5 クライアントを最新バージョンに更新しました。

+ x11vnc ソースを、https://github.com/LibVNC/x11vnc の分離されたリポジトリに分割しました

+ vncterm ソースを、https://github.com/LibVNC/vncterm の分離されたリポジトリに分割しました

+ VisualNaCro ソースを、https://github.com/LibVNC/VisualNaCro の分離されたリポジトリに分割しました

+ Debian パッチをマージしました。

+ 一部のセキュリティ関係のバッファオーバーフローの事例を修正しました。

+ 互換性ヘッダーを追加して、ネイティブ Windows 8 上で LibVNCServer/LibVNCClient ビルドを作成しました。

+ LZO をバージョン 2.07 に更新し、CVE-2014-4607 を修正します。

+ KDE/krfb からパッチをマージしました。

+ IPv4 なしで IPv6 の実行が可能になりました。

+ scale.c の use-after-free の問題を修正しました。

- URL を更新し、ソースを新しいプロジェクトホームにダウンロードします

- LibVNCServer-0.9.9-no_x11vnc.patch を削除します。Upstream は、これをメイン tarball から分割しました

- libvncserver-ossl.patch を libvncserver-0.9.10-ossl.patch より後の Upstream の変更にリベースします

- linuxvnc サブパッケージを削除します。x11vnc 同様分割されましたが、価値が下がったためメンテナンスされていません。

ソリューション

影響を受ける LibVNCServer パッケージを更新してください。

参考資料

https://github.com/LibVNC/VisualNaCro

https://github.com/LibVNC/vncterm

https://github.com/LibVNC/x11vnc

http://libvnc.github.io/./

プラグインの詳細

深刻度: High

ID: 83803

ファイル名: openSUSE-2015-377.nasl

バージョン: 2.5

タイプ: local

エージェント: unix

公開日: 2015/5/26

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: High

基本値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libvncserver-debugsource, p-cpe:/a:novell:opensuse:libvncserver-devel, p-cpe:/a:novell:opensuse:libvncclient0, p-cpe:/a:novell:opensuse:libvncclient0-debuginfo, p-cpe:/a:novell:opensuse:libvncserver0, p-cpe:/a:novell:opensuse:libvncserver0-debuginfo, cpe:/o:novell:opensuse:13.2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2015/5/13

脆弱性公開日: 2020/2/12

参照情報

CVE: CVE-2014-4607