Atualização de segurança do Debian para o libvncserver, aviso Debian LTS: DLA-2347-1

Confira !



Várias vulnerabilidades menores foram descobertas no libvncserver, uma implementação de servidor e cliente do protocolo VNC. CVE-2019-20839
-------------------------------------------------- -----------------------
Consultivo Debian LTS DLA-2347-1                 debian-lts@lists.debian.org
https://www.debian.org/lts/security/ Mike Gabriel
28 de agosto de 2020 https://wiki.debian.org/LTS
-------------------------------------------------- -----------------------

Pacote: libvncserver
Versão: 0.9.11 + dfsg-1.3 ~ deb9u5
CVE ID: CVE-2019-20839 CVE-2020-14397 CVE-2020-14399 CVE-2020-14400
                 CVE-2020-14401 CVE-2020-14402 CVE-2020-14403 CVE-2020-14404
                 CVE-2020-14405

Várias vulnerabilidades menores foram descobertas no libvncserver, um
implementação de servidor e cliente do protocolo VNC.

CVE-2019-20839

    libvncclient / sockets.c em LibVNCServer teve um estouro de buffer por meio de um
    nome de arquivo de soquete longo.

CVE-2020-14397

    libvncserver / rfbregion.c tem uma desreferência de ponteiro NULL.

CVE-2020-14399

    Dados alinhados por byte foram acessados ​​através de ponteiros uint32_t em
    libvncclient / rfbproto.c.

    NOTA: Este problema foi contestado por terceiros; Há sim
    alegadamente "nenhum limite de confiança ultrapassado".

CVE-2020-14400

    Os dados alinhados por byte foram acessados ​​através de ponteiros uint16_t em
    libvncserver / translate.c.

    NOTA: Este problema foi contestado por terceiros. Não há
    caminho conhecido de exploração ou cruzamento de uma fronteira de confiança.

CVE-2020-14401

    libvncserver / scale.c teve um estouro de inteiro pixel_value.

CVE-2020-14402

    libvncserver / corre.c permitiu acesso fora dos limites por meio de codificações.

CVE-2020-14403

    libvncserver / hextile.c permitiu acesso fora dos limites por meio de codificações.

CVE-2020-14404

    libvncserver / rre.c permitiu acesso fora dos limites por meio de codificações.

CVE-2020-14405

    libvncclient / rfbproto.c não limitava o tamanho do TextChat.

Para o Debian 9 stretch, esses problemas foram corrigidos na versão
0.9.11 + dfsg-1.3 ~ deb9u5.

Recomendamos que você atualize seus pacotes libvncserver.

Para o status de segurança detalhado do libvncserver, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/libvncserver

Mais informações sobre os avisos de segurança Debian LTS, como se inscrever
essas atualizações em seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://wiki.debian.org/LTS

-

mike gabriel, também conhecido como sunweaver (desenvolvedor Debian)
fon: +49 (1520) 1976 148

Impressão digital GnuPG: 9BFB AEE8 6C0A A5FF BF22 0782 9AF4 6B30 2577 1B31
mail: sunweaver@debian.org , https://sunweavers.net


Fonte

Até a próxima !!