Bulletin d'alerte Debian

DLA-2014-1 vino -- Mise à jour de sécurité pour LTS

Date du rapport :
29 novembre 2019
Paquets concernés :
vino
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 945784.
Dans le dictionnaire CVE du Mitre : CVE-2014-6053, CVE-2018-7225, CVE-2019-15681.
Plus de précisions :

Plusieurs vulnérabilités ont été identifiées dans le code VNC de vino, un utilitaire de partage de bureau pour l’environnement de bureau GNOME.

Les vulnérabilités référencées ci-dessous sont des problèmes qui, à l’origine, ont été signalés pour le paquet source libvncserver de Debian. Le paquet source de vino dans Debian incorpore une variante dépouillée et avec une correction personnalisée de libvncserver, par conséquent quelques correctifs de sécurité pour libvncserver nécessitent plus de portage.

  • CVE-2014-6053

    La fonction rfbProcessClientNormalMessage dans libvncserver/rfbserver.c dans LibVNCServer ne gérait pas correctement les essais d’envoi de grandes quantités de données ClientCutText. Cela permettait à des attaquants distants de provoquer un déni de service (consommation de mémoire ou plantage du démon) à l'aide d'un message contrefait qui était traité en utilisant un unique malloc non vérifié.

  • CVE-2018-7225

    Un problème a été découvert dans LibVNCServer. La fonction rfbProcessClientNormalMessage() dans rfbserver.c ne nettoyait pas msg.cct.length, conduisant à un accès à des données non initialisées et éventuellement sensibles, ou éventuellement à un autre impact non précisé (par exemple, un dépassement d'entier) à l’aide de paquets VNC contrefaits pour l'occasion.

  • CVE-2019-15681

    LibVNC contenait une fuite de mémoire (CWE-655) dans le code du serveur VNC qui permettait à un attaquant de lire la mémoire de pile, et pourrait être mal utilisée pour une divulgation d'informations. Combinée avec une autre vulnérabilité, cela pourrait être utilisé pour divulguer de la mémoire de pile et contourner ASLR. Cette attaque semble être exploitable à l’aide de la connectivité réseau.

    Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.14.0-2+deb8u1.

    Nous vous recommandons de mettre à jour vos paquets vino.

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.