2014-1260: Krfb, libvncserver: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2014-09-25 19:46)
- Neues Advisory
- Version 2 (2014-09-30 13:52)
- Canonical stellt für die Distributionen Ubuntu 12.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für libvncserver zur Verfügung. Auch für Fedora 19, 20, 21 und Fedora EPEL 5 wurde die Bibliothek libvncserver von diesen Schwachstellen bereinigt. Fedora nennt allerdings noch die Schwachstelle CVE-2010-5304 in dem Zusammenhang, die daher neu in diese Meldung aufgenommen wurde.
- Version 3 (2014-11-18 11:49)
- Red Hat stellt für die Produkte Red Hat Enterprise Linux Desktop 6, 7; Server 6, 7, 6.6.z EUS; Workstation 6, 7 Sicherheitsupdates in der Form aktualisierter Pakete von libvncserver 0.9.7 und 0.9.9 zur Verfügung, womit alle gelisteten Schwachstellen bis auf CVE-2010-5304 adressiert werden, sowie für die Produkte Red Hat Enterprise Linux Desktop 7, Server 7 und Workstation 7 aktualisierte Pakete von kdenetwork 4.10.5, wodurch nur CVE-2014-6053, CVE-2014-6054 und CVE-2014-6055 adressiert werden.
- Version 4 (2014-12-01 11:50)
- Für die Distribution Debian Wheezy steht ein Sicherheitsupdate zur Verfügung, welches die Schwachstelle CVE-2010-5304 jedoch nicht adressiert.
- Version 5 (2015-11-25 15:01)
- Für die SUSE Linux Enterprise 12 Produkte Server, Desktop und Software Development Kit stehen Sicherheitsupdates zur Verfügung, welche die Schwachstelle CVE-2010-5304 jedoch nicht adressieren.
- Version 6 (2015-11-26 17:09)
- Für SUSE Linux Enterprise Software Development Kit 11 SP4 / SP3, Server for VMWare 11 SP3, Server 11 SP4 / SP3 und Desktop 11 SP4 / SP3 stehen Sicherheitsupdates für LibVNCServer zur Verfügung, welche die Schwachstelle CVE-2010-5304 jedoch nicht adressieren.
- Version 7 (2015-12-07 14:52)
- openSUSE veröffentlicht für openSUSE Leap 42.1 ein Sicherheitsupdate für LibVNCServer, die Schwachstelle CVE-2010-5304 wird von diesem nicht benannt.
- Version 8 (2015-12-31 14:15)
- Für SUSE Linux Enterprise Software Development Kit 12 SP1 und Server 12 SP1 werden Sicherheitsupdates veröffentlicht, welche die Schwachstelle CVE-2010-5304 allerdings nicht benennen.
Betroffene Software
Office
Server
Betroffene Plattformen
Linux
Beschreibung:
Durch mehrere Schwachstellen in der Bibliothek libvncserver, die u.a. von Krfb benutzt wird, kann ein entfernter, nicht authentifizierter Angreifer Denial-of-Service-Angriffe durch- oder beliebigen Programmcode ausführen.
Schwachstellen:
CVE-2010-5304
Schwachstelle in Krfb ermöglicht Denial-of-ServiceCVE-2014-6051
Schwachstelle in Krfb ermöglicht u. a. Denial-of-Service-AngriffCVE-2014-6052
Schwachstelle in Krfb ermöglicht Denial-of-Service-AngriffCVE-2014-6053
Schwachstelle in Krfb ermöglicht Denial-of-Service-AngriffCVE-2014-6054
Schwachstelle in Krfb ermöglicht Denial-of-Service-AngriffCVE-2014-6055
Schwachstelle in Krfb ermöglicht u. a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.