Bulletin d'alerte Debian

DLA-2396-1 tigervnc -- Mise à jour de sécurité pour LTS

Date du rapport :
6 octobre 2020
Paquets concernés :
tigervnc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 971272.
Dans le dictionnaire CVE du Mitre : CVE-2020-26117.
Plus de précisions :

Une vulnérabilité a été découverte dans tigervnc, une mise en œuvre de serveur et client d’informatique virtuelle en réseau (VNC). L’implémentation de l’afficheur gérait incorrectement les exceptions de certificats TLS, stockant les certificats en tant qu’autorités, ce qui signifiait que le propriétaire d’un certificat pouvait usurper l’identité de n’importe quel serveur après qu’un client ait ajouté une exception.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 1.7.0+dfsg-7+deb9u2.

Nous vous recommandons de mettre à jour vos paquets tigervnc.

Pour disposer d'un état détaillé sur la sécurité de tigervnc, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/tigervnc.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.