Vulnérabilités dans SSVNC pour Ubuntu

Date de publication :

Plusieurs vulnérabilités dans SSVNC pour Ubuntu ont été corrigées. Elles peuvent permettre à un attaquant de provoquer un déni de service, une exécution de code arbitraire ou une fuite d’informations sensibles. 

CVE-2018-20020 [Score CVSS v3 : 9.8] : Une vulnérabilité de type “écriture hors-limites” a été découverte dans le composant LibVNC utilisé dans SSVNC. Elle peut permettre à un attaquant distant de provoquer une exécution de code arbitraire.

CVE-2018-20021 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “boucle infinie” a été découverte dans le composant LibVNC utilisé dans SSVNC. Elle peut permettre à un attaquant distant de provoquer un déni de service via une consommation excessive de ressources.

CVE-2018-20022 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “démarrage incorrect” a été découverte dans le composant LibVNC utilisé dans SSVNC. Elle peut permettre à un attaquant distant de provoquer une fuite d’informations sensibles.

CVE-2018-20024 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “déréférencement de pointeur nul” a été découverte dans le composant LibVNC utilisé dans SSVNC. Elle peut permettre à un attaquant distant de provoquer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Déni de service
  • Fuite d’informations sensibles

Criticité

  • Score CVSS v3 : 9.8 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

  • Ubuntu 16.04

CVE

  • CVE-2018-20020
  • CVE-2018-20021
  • CVE-2018-20022
  • CVE-2018-20024

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les paquets ssvnc

Solution de contournement

  • Aucune solution de contournement

Liens