ГлавнаяБаза уязвимостей БДУ → BDU:2020-01661
10критическая

BDU:2020-01661 (CVE-2019-15690)

Уязвимость функции HandleCursorShape библиотеки LibVNC, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-04-22
Описание

Уязвимость функции HandleCursorShape библиотеки LibVNC связана с переполнением буфера в куче. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)LibVNC (до v6073771eed1caf72f196e410182471e0dfd32149)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Обновить программное обеспечение до актуальной версии

Использование рекомендаций производителя (для Red Hat):
https://access.redhat.com/security/cve/cve-2019-15690


Для Astra Linux:

Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libvncserver до версии 0.9.11+dfsg-1.3~deb9u6

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2019-15690https://github.com/LibVNC/libvncserver/commit/54220248886b5001fbbb9fa73c4e1a2cb9413fedhttps://github.com/LibVNC/libvncserver/issues/381https://ics-cert.kaspersky.com/advisories/klcert-advisories/2020/03/23/klcert-20-009-remote-code-execution-on-libvnc-version-prior-to-0-9-12/https://nvd.nist.gov/vuln/detail/CVE-2019-15690https://safe-surf.ru/upload/VULN/VULN-20200325.1.pdfhttps://security-tracker.debian.org/tracker/CVE-2019-15690https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена