BDU:2018-01493
Novell Inc., Canonical Ltd., Red Hat Inc., Сообщество свободного программного обеспечения, ООО «РусБ Red Hat Enterprise Linux, Astra Linux Special Edition, Ubuntu, OpenSUSE Leap, Debian GNU/Linux, LibV
2018-02-18
Уязвимость функции rfbProcessClientNormalMessage() кроссплатформенной библиотеки LibVNCServer связана с недостаточной очисткой входных данных VNC-пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании и получить несанкционированный доступ к конфиденциальным данным
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендации: https://github.com/LibVNC/libvncserver/issues/218
Для продуктов Debian: https://www.debian.org/security/2018/dsa-4221 https://lists.debian.org/debian-lts-announce/2019/12/msg00028.html https://lists.debian.org/debian-lts-announce/2019/11/msg00032.html https://lists.debian.org/debian-lts-announce/2019/10/msg00042.html https://lists.debian.org/debian-lts-announce/2018/03/msg00035.html
Для Ubuntu: https://usn.ubuntu.com/3618-1/
Для Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
Для OpenSUSE: https://www.suse.com/security/cve/CVE-2018-7225/
Для продуктов Red Hat: https://access.redhat.com/security/cve/CVE-2018-7225?extIdCarryOver=true&sc_cid=701f2000001OH7JAAW
Для ОС Astra Linux: обновить пакет vino до 3.22.0-6.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM: обновить пакет vino до 3.22.0-6.astra1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47