Vulnérabilité dans LibVNCserver
Date de publication :
Une vulnérabilité critique de LibVNCserver, une librairie C permettant d’implémenter des fonctionnalités VNC (Virtual Network Computing) à des programmes, a été corrigée. Elle peut permettre à un attaquant distant et non identifié de provoquer un dépassement de tas pouvant amener à un plantage du système ainsi qu'à une exécution de code arbitraire.
CVE-2019-15690 [Score CVSS v3 : 9.8] : Un dépassement d’entier dans la fonction HandleCursorShape() peut provoquer un dépassement de tas dans LibVNCserver. Un attaquant distant et non authentifié peut utiliser cette vulnérabilité afin de provoquer un plantage du système et une exécution de code arbitraire. Pour cela, il doit réussir à amener un utilisateur à se connecter à un serveur malveillant.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement
Composants vulnérables
- LibVNCserver versions antérieures à la 0.9.12.2
CVE
- CVE-2019-15690
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour LibVNCserver à la version 0.9.12.2
Solution de contournement
Ne pas utiliser LibVNCserver pour se connecter à des serveurs non sécurisés