ГлавнаяБаза уязвимостей БДУ → BDU:2020-03957
10критическая

BDU:2020-03957

Уязвимость компонента websockets.c кроссплатформенной библиотеки LibVNCServer, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-08-19
Описание

Уязвимость компонента websockets.c кроссплатформенной библиотеки LibVNCServer связана с выходом операции за границы буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Fedora (31)Ubuntu (19.10)LibVNCServer (до 0.9.12)Fedora (32)OpenSUSE Leap (15.2)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)
Способ устранения

Использование рекомендаций:
Для LibVNCServer:
https://github.com/LibVNC/libvncserver/commit/aac95a9dcf4bbba87b76c72706c3221a842ca433

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2017-18922

Для Ubuntu:
https://usn.ubuntu.com/4407-1/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4F6FUH4EFK4NAP6GT4TQRTBKWIRCZLIY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NVP7TJVYJDXDFRHVQ3ENEN3H354QPXEZ/

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00020.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00028.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00033.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00055.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00066.html

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОС Astra Linux Special Edition 1.7:
обновить пакет libvncserver до 0.9.11+dfsg-1.3+deb10u4+ci202207012115+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00020.htmlhttp://lists.opensuse.org/opensuse-security-announce/2020-07/msg00028.htmlhttp://lists.opensuse.org/opensuse-security-announce/2020-07/msg00033.htmlhttp://lists.opensuse.org/opensuse-security-announce/2020-07/msg00055.htmlhttp://lists.opensuse.org/opensuse-security-announce/2020-07/msg00066.htmlhttp://www.openwall.com/lists/oss-security/2020/06/30/3https://bugzilla.redhat.com/show_bug.cgi?id=1852356https://github.com/LibVNC/libvncserver/commit/aac95a9dcf4bbba87b76c72706c3221a842ca433
Проверьте безопасность своего сайта и почты → Полная проверка домена