Risque
Contournement de la politique de sécurité.
Systèmes affectés
libVNCServer versions 0.8.1 et antérieures.
Résumé
Une vulnérabilité dans libVNCServer permet à un utilisateur distant de contourner la politique de sécurité du logiciel vulnérable.
Description
la bibliothèque de fonctions libVNCServer permet de mettre en œuvre des services de bureau distant comme par exemple VNCServer.
Une erreur présente dans les fonctions d'authentification de cette bibliothèque permet à un utilisateur distant de contourner l'authentification mise en place dans une application basée sur cette bibliothèque. Il peut alors obtenir un accès illégitime à tout ou partie de l'application vulnérable.
Solution
La version 0.8.2 de libVNCServer corrige le problème :
http://www.sourceforge.net/project/showfiles.php?group_id=32584
Documentation
- Site de libVNCServer :
http://libvncserver.sourceforge.net
- Bulletin de sécurité Gentoo GLSA 200608-05 du 04 août 2006 :
http://www.gentoo.org/security/en/glsa/glsa-200608-05.xml
- Bulletin de sécurité Suse SUSE-SA:2006:042 du 26 juillet 2006 :
http://lists.suse.com/archive/suse-security-announce/2006-Jul/0008.html
- Rapport d'erreur Debian #376824 :
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=376824
- Référence CVE CVE-2006-2450 :
https://www.cve.org/CVERecord?id=CVE-2006-2450
- Bulletin de sécurité Gentoo GLSA 200608-12 du 07 août 2006 concernant x11vnc :
http://www.gentoo.org/security/en/glsa/glsa-200608-12.xml