漏洞信息详情
LibVNCServer 输入验证错误漏洞
- CNNVD编号:CNNVD-201410-1263
- 危害等级: 中危
- CVE编号: CVE-2014-6052
- 漏洞类型: 输入验证错误
- 发布时间: 2014-09-23
- 威胁类型: 远程
- 更新时间: 2020-10-28
- 厂 商: canonical
- 漏洞来源: Nicolas RUFF
漏洞简介
LibVNCServer是一款支持在程序中实现VNC(虚拟网络计算)服务器或客户端功能的跨平台C语言库。
LibVNCServer 0.9.9及之前版本的libvncclient/rfbproto.c文件中的‘HandleRFBServerMessage’函数存在输入验证错误漏洞,该漏洞源于程序没有检查malloc的返回值。远程攻击者利用该漏洞可造成拒绝服务(应用程序崩溃)或执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://github.com/newsoft/libvncserver/commit/85a778c0e45e87e35ee7199f1f25020648e8b812
参考网址
来源:UBUNTU
链接:http://ubuntu.com/usn/usn-2365-1
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2014/09/25/11
来源:GENTOO
链接:https://security.gentoo.org/glsa/201507-07
来源:DEBIAN
链接:https://www.debian.org/security/2014/dsa-3081
来源:CONFIRM
链接:https://github.com/newsoft/libvncserver/commit/85a778c0e45e87e35ee7199f1f25020648e8b812
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2015-12/msg00022.HTML
来源:SECUNIA
链接:http://secunia.com/advisories/61506
来源:MLIST
链接:http://seclists.org/oss-sec/2014/q3/639
来源:MLIST
链接:https://lists.debian.org/debian-lts-announce/2019/10/msg00042.HTML
来源:SECUNIA
链接:http://secunia.com/advisories/61682
来源:BID
链接:https://www.securityfocus.com/bid/70091
来源:UBUNTU
链接:https://usn.ubuntu.com/4587-1/
来源:MISC
链接:http://www.ocert.org/advisories/ocert-2014-007.HTML
来源:CONFIRM
链接:http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.HTML
来源:security-tracker.debian.org
链接:https://security-tracker.debian.org/tracker/DLA-1979-1
来源:www.auscert.org.au
链接:https://www.auscert.org.au/bulletins/ESB-2020.3625/
来源:www.auscert.org.au
链接:https://www.auscert.org.au/bulletins/ESB-2019.4032/
受影响实体
- Canonical Ubuntu_linux:14.04:~~Lts~~~
- Canonical Ubuntu_linux:12.04:~~Lts~~~
补丁
- libvncclient-rfbproto.c
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论