Atualização crítica do TigerVNC no Rocky Linux 8 corrige 9 vulnerabilidades (CVE-2026-50256 a CVE-2026-50264). Guia completo com comandos, verificação pós-atualização e troubleshooting.
Em 24 de junho de 2026, a Rocky Enterprise Software Foundation publicou o RLSA-2026:28923, uma atualização de segurança de nível Important para o pacote tigervnc no Rocky Linux 8.
O TigerVNC é uma implementação do protocolo VNC (Virtual Network Computing) que permite acesso remoto a ambientes desktop gráficos. Esta atualização endereça nove vulnerabilidades (CVE-2026-50256 a CVE-2026-50264) que afetam o servidor X.Org subjacente utilizado pelo TigerVNC.
As falhas incluem estouros de pilha (stack buffer overflow), use-after-free e escrita fora dos limites (out-of-bounds write) no servidor X11 e Xwayland.
O vetor de ataque varia entre execução remota e local, com impacto que pode levar desde negação de serviço (DoS) até escalonamento de privilégios em cenários onde o servidor X executa como root.
A severidade é agravada pelo fato de que, em muitas infraestruturas, o TigerVNC é exposto em interfaces de rede, tornando estas vulnerabilidades particularmente críticas para ambientes de produção.
Este guia apresenta o procedimento completo de atualização, verificação e troubleshooting para administradores de sistemas que mantêm ambientes Rocky Linux 8 com TigerVNC.
Pré-requisitos
$ cat /etc/rocky-release Rocky Linux release 8.10 (Green Obsidian) $ uname -r 4.18.0-553.el8.x86_64
1. Identificação da Versão Atual
Antes de aplicar a atualização, documente a versão instalada. Isso permite rastrear quais sistemas foram corrigidos e facilita auditorias futuras.
$ rpm -q tigervnc tigervnc-1.13.0-3.el8.x86_64
A versão corrigida é 1.15.0-10.el8_10. Se a saída mostrar uma versão anterior, o sistema está vulnerável.
Para obter informações detalhadas sobre o pacote:
$ dnf info tigervnc Última verificação de metadados: há 2 horas. Pacotes instalados Nome : tigervnc Versão : 1.13.0 Release : 3.el8 Arquitetura : x86_64 Tamanho : 3.2 M Fonte : tigervnc-1.13.0-3.el8.src.rpm Repositório : @System Resumo : A TigerVNC remote display system URL : http://www.tigervnc.org Licença : GPLv2+ Descrição : Virtual Network Computing (VNC) is a remote display system...
2. Verificação de Atualizações de Segurança Disponíveis
Antes de instalar, confirme se a atualização de segurança está disponível nos repositórios:
$ sudo dnf check-update --security Última verificação de metadados: há 2 horas. tigervnc.x86_64 1.15.0-10.el8_10 baseos tigervnc-icons.noarch 1.15.0-10.el8_10 baseos tigervnc-license.noarch 1.15.0-10.el8_10 baseos tigervnc-server.x86_64 1.15.0-10.el8_10 baseos tigervnc-server-minimal.x86_64 1.15.0-10.el8_10 baseos tigervnc-server-module.x86_64 1.15.0-10.el8_10 baseos
Para listar especificamente os CVEs corrigidos pela atualização disponível:
$ sudo dnf updateinfo list cves RLSA-2026:28923 Important/Sec. tigervnc-1.15.0-10.el8_10.x86_64 CVE-2026-50256 Important/Sec. CVE-2026-50257 Important/Sec. CVE-2026-50258 Important/Sec. CVE-2026-50259 Important/Sec. CVE-2026-50260 Important/Sec. CVE-2026-50261 Important/Sec. CVE-2026-50262 Important/Sec. CVE-2026-50263 Important/Sec. CVE-2026-50264 Important/Sec.
3. Aplicação da Atualização
O comando abaixo atualiza todos os pacotes do subcomponente TigerVNC para a versão corrigida:
$ sudo dnf update --security tigervnc\*
Saída esperada (trecho):
Dependencies resolved. ================================================================================ Package Arch Version Repository Size ================================================================================ Upgrading: tigervnc x86_64 1.15.0-10.el8_10 baseos 1.2 M tigervnc-icons noarch 1.15.0-10.el8_10 baseos 52 k tigervnc-license noarch 1.15.0-10.el8_10 baseos 17 k tigervnc-server x86_64 1.15.0-10.el8_10 baseos 540 k tigervnc-server-minimal x86_64 1.15.0-10.el8_10 baseos 382 k tigervnc-server-module x86_64 1.15.0-10.el8_10 baseos 158 k Transaction Summary ================================================================================ Upgrade 6 Packages Total download size: 2.3 M Is this ok [y/N]: y
Por que tigervnc\*? O curinga garante que todos os subpacotes (server, minimal, module, icons, license) sejam atualizados em conjunto. Atualizar apenas o pacote principal pode deixar subcomponentes em versões inconsistentes, causando problemas de compatibilidade.
4. Verificação Pós-Atualização
Após a instalação, confirme que a versão correta está instalada:
$ rpm -q tigervnc tigervnc-1.15.0-10.el8_10.x86_64
Para verificar a integridade dos arquivos instalados (comparação com o banco de dados RPM):
$ rpm -V tigervnc
A ausência de saída indica que todos os arquivos estão íntegros e não foram modificados desde a instalação.
5. Reinicialização dos Serviços
A atualização substitui binários em execução. Para que as correções entrem em vigor, é necessário reiniciar os serviços do TigerVNC:
# Identificar serviços em execução $ systemctl list-units --type=service | grep -i vnc vncserver@:1.service loaded active running TigerVNC server on :1 # Reiniciar o serviço específico $ sudo systemctl restart vncserver@:1.service # Verificar status $ sudo systemctl status vncserver@:1.service ● vncserver@:1.service - TigerVNC server on :1 Loaded: loaded (/etc/systemd/system/vncserver@.service; enabled; vendor preset: disabled) Active: active (running) since Thu 2026-06-25 14:23:45 UTC; 10s ago Main PID: 28471 (Xvnc) Tasks: 0 (limit: 2345) Memory: 12.4M CGroup: /system.slice/system-vncserver.slice/vncserver@:1.service └─28471 /usr/bin/Xvnc :1 -auth /home/user/.Xauthority -desktop ...
Atenção: Se o serviço utilizar -inetd ou estiver configurado via xinetd, a reinicialização do serviço xinetd (ou do sistema como um todo) pode ser necessária.
6. Verificação de Segurança com OpenSCAP (Opcional)
Para ambientes que exigem comprovação de conformidade, o OpenSCAP pode validar se a atualização foi aplicada corretamente:
📘 Indicação de Leitura
Esse livro é um guia prático e abrangente sobre a segurança do sistema operacional Linux como um todo. O livro ensina a pensar como um atacante para fortalecer a defesa do servidor, abordando tópicos fundamentais como:
- Ferramentas de rede: Nmap, Netcat, knockd.
- Monitoramento: de arquivos e sistemas de arquivos.
- Defesas: contra malware e ataques DDoS.
- Descoberta de vulnerabilidades: como invasores encontram pontos fracos.
Eu ganho uma comissão quando você faz uma compra.
Troubleshooting – Problema Comum e Solução
Problema: dnf update falha com conflito de dependências
Cenário: Durante a execução do dnf update tigervnc\*, o sistema retorna erro semelhante a:
Error: Problem: package tigervnc-server-module-1.15.0-10.el8_10.x86_64 requires tigervnc = 1.15.0-10.el8_10, but none of the providers can be installed - cannot install both tigervnc-1.13.0-3.el8.x86_64 and tigervnc-1.15.0-10.el8_10.x86_64
Solução:
# Limpar cache do DNF $ sudo dnf clean all 12 arquivos removidos # Sincronizar metadados dos repositórios $ sudo dnf makecache Rocky Linux 8 - BaseOS 2.1 MB/s | 4.2 MB 00:02 Rocky Linux 8 - AppStream 5.3 MB/s | 8.1 MB 00:01 Rocky Linux 8 - Extras 1.2 MB/s | 1.8 MB 00:01 Metadados em cache verificados com sucesso. # Tentar novamente a atualização $ sudo dnf update --security tigervnc\*
Se o problema persistir, verifique pacotes órfãos:
$ sudo dnf repoquery --duplicates tigervnc\* tigervnc-1.13.0-3.el8.x86_64 tigervnc-1.15.0-10.el8_10.x86_64
Neste caso, force a remoção das versões antigas:
$ sudo dnf remove tigervnc-1.13.0-3.el8 $ sudo dnf install tigervnc-1.15.0-10.el8_10
Armadilha Comum – O que Iniciantes Fazem de Errado
# Após a atualização, SEMPRE reiniciar os serviços afetados $ sudo systemctl restart vncserver@*.service # Em ambientes com múltiplas instâncias, reiniciar todas $ for i in $(systemctl list-units --type=service | grep vncserver@ | awk '{print $1}'); do sudo systemctl restart $i done # Verificar se todos os processos estão usando os novos binários $ pgrep -a Xvnc | head -5 28471 /usr/bin/Xvnc :1 -auth /home/user/.Xauthority -desktop ...
Regra de ouro: Atualização de segurança = instalação + reinicialização do serviço. Não pule a segunda etapa.
Conclusão
O RLSA-2026:28923 é uma atualização de segurança crítica para qualquer ambiente Rocky Linux 8 que utilize TigerVNC. As nove vulnerabilidades corrigidas — que incluem estouros de pilha, use-after-free e escritas fora dos limites no servidor X.Org — podem ser exploradas para negação de serviço e, em cenários mais graves, escalonamento de privilégios.
O procedimento de atualização é direto: identificar a versão atual, aplicar a atualização com dnf e reiniciar os serviços afetados.
A principal armadilha é negligenciar a reinicialização dos serviços, mantendo processos vulneráveis em execução mesmo após a instalação dos novos pacotes.
Para ambientes de produção, recomenda-se:
- Agendar a atualização em janela de manutenção com baixo impacto.
- Testar em ambiente de homologação antes da produção.
- Documentar a versão pós-atualização para fins de auditoria.
- Monitorar logs (/var/log/messages, journalctl -u vncserver@*) por 24 horas após a atualização.
Nenhum comentário:
Postar um comentário