Vulnérabilité dans LibVNCserver

Une vulnérabilité critique de LibVNCserver, une librairie C permettant d’implémenter des fonctionnalités VNC (Virtual Network Computing) à des programmes, a été corrigée. Elle peut permettre à un attaquant distant et non identifié de provoquer un dépassement de tas pouvant amener à un plantage du système ainsi qu'à une exécution de code arbitraire.

CVE-2019-15690 [Score CVSS v3 : 9.8] : Un dépassement d’entier dans la fonction HandleCursorShape() peut provoquer un dépassement de tas dans LibVNCserver. Un attaquant distant et non authentifié peut utiliser cette vulnérabilité afin de provoquer un plantage du système et une exécution de code arbitraire. Pour cela, il doit réussir à amener un utilisateur à se connecter à un serveur malveillant. 

Informations
+

Risques

  • Exécution de code arbitraire

  • Déni de service

Criticité

  • Score CVSS v3 : 9.8

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

  • LibVNCserver versions antérieures à la 0.9.12.2

CVE

  • CVE-2019-15690


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour LibVNCserver à la version 0.9.12.2

Solution de contournement

  • Ne pas utiliser LibVNCserver pour se connecter à des serveurs non sécurisés