LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1652-1 libvncserver

Bulletin d'alerte Debian

DLA-1652-1 libvncserver -- Mise à jour de sécurité pour LTS

Date du rapport :

31 janvier 2019

Paquets concernés :

libvncserver

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-15126, CVE-2018-20748, CVE-2018-20749, CVE-2018-20750.

Plus de précisions :

Une vulnérabilité a été découverte par Kaspersky Lab dans libvnserver, une bibliothèque C pour mettre en œuvre les fonctionnalités serveur/client de VNC. De plus, quelques-unes des vulnérabilités traitées dans DLA 1617-1 avaient des corrections incomplètes, et ont été traitées dans cette mise à jour.

• CVE-2018-15126

  Un attaquant peut causer un déni de service ou une exécution de code à distance à l'aide d'une utilisation de mémoire de tas après libération dans l’extension tightvnc-filetransfer.

• CVE-2018-20748 / CVE-2018-20749 / CVE-2018-20750

  Quelques correctifs d’écriture de tas hors limites pour CVE-2018-20019 et CVE-2018-15127 étaient incomplets. Ces CVE traitent ces problèmes.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 0.9.9+dfsg2-6.1+deb8u5.

Nous vous recommandons de mettre à jour vos paquets libvncserver.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.