openSUSE 安全更新:LibVNCServer (openSUSE-2015-377)
high Nessus 插件 ID 83803
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
LibVNCServer 已更新到版本 0.9.10,修复了多个安全问题和非安全问题。修复了以下问题:
- 从 buildRequires 删除了 xorg-x11-devel,X 库不直接使用/链接
- libvncserver-0.9.10-ossl.patch:更新,如果已植入 PRNG,则不执行 RAND_load_file(“/dev/urandom”,1024)。(其始终在 Linux 上)
- 更新到版本 0.9.10
+ 将整个项目从 sourceforge 移至 https://libvnc.github.io/。
+ 清除了 autotools 构建系统(现在使用 autoreconf)。
+ noVNC HTML5 客户端已更新至最新版本。
+ 将 x11vnc 源拆分为单独的存储库(位于 https://github.com/LibVNC/x11vnc)
+ 将 vncterm 源拆分为单独的存储库(位于 https://github.com/LibVNC/vncterm)
+ 将 VisualNaCro 源拆分为单独的存储库(位于 https://github.com/LibVNC/VisualNaCro)
+ 合并了 Debian 修补程序。
+ 修复了一些与安全性相关的缓冲区溢出情况。
+ 添加了兼容性标头,以便在 Windows 8 本机中生成 LibVNCServer/LibVNCClient 版本。
+ LZO 更新到 2.07 版本,修复了 CVE-2014-4607。
+ 合并了来自 KDE/krfb 的修补程序。
+ 现在可在没有 IPv4 的情况下执行 IPv6。
+ 修复了 scale.c 中的释放后使用问题。
- 更新 URL 并将源下载到新项目主页
- 删除了 LibVNCServer-0.9.9-no_x11vnc.patch;上游已将其从主 tarball 中拆分出来
- 衍合 libvncserver-ossl.patch 至上游变更 > libvncserver-0.9.10-ossl.patch
- 删除了 linuxvnc 子程序包;与 x11vnc 相似,其已被拆分出去,不过已被弃用并且未维护。
解决方案
更新受影响的 LibVNCServer 程序包。另见
https://github.com/LibVNC/VisualNaCro
https://github.com/LibVNC/vncterm
插件详情
严重性: High
ID: 83803
文件名: openSUSE-2015-377.nasl
版本: 2.5
类型: local
代理: unix
发布时间: 2015/5/26
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.8
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS v3
风险因素: High
基本分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞信息
CPE: p-cpe:/a:novell:opensuse:libvncserver-debugsource, p-cpe:/a:novell:opensuse:libvncserver-devel, p-cpe:/a:novell:opensuse:libvncclient0, p-cpe:/a:novell:opensuse:libvncclient0-debuginfo, p-cpe:/a:novell:opensuse:libvncserver0, p-cpe:/a:novell:opensuse:libvncserver0-debuginfo, cpe:/o:novell:opensuse:13.2
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
补丁发布日期: 2015/5/13
漏洞发布日期: 2020/2/12
参考资料信息
CVE: CVE-2014-4607