புரோஹோஸ்டர் > Блог > இணைய செய்தி > பல்வேறு VNC செயலாக்கங்களில் 37 பாதிப்புகள்

பல்வேறு VNC செயலாக்கங்களில் 37 பாதிப்புகள்

காஸ்பர்ஸ்கி ஆய்வகத்தில் இருந்து பாவெல் செரெமுஷ்கின் பகுப்பாய்வு செய்யப்பட்டது VNC (விர்ச்சுவல் நெட்வொர்க் கம்ப்யூட்டிங்) தொலைநிலை அணுகல் அமைப்பின் பல்வேறு செயலாக்கங்கள் மற்றும் நினைவகத்துடன் பணிபுரியும் போது ஏற்படும் சிக்கல்களால் ஏற்படும் 37 பாதிப்புகளை அடையாளம் கண்டுள்ளது. VNC சேவையக செயலாக்கங்களில் அடையாளம் காணப்பட்ட பாதிப்புகள் அங்கீகரிக்கப்பட்ட பயனரால் மட்டுமே பயன்படுத்தப்பட முடியும், மேலும் தாக்குபவரால் கட்டுப்படுத்தப்படும் சேவையகத்துடன் பயனர் இணைக்கும் போது கிளையன்ட் குறியீட்டில் உள்ள பாதிப்புகள் மீதான தாக்குதல்கள் சாத்தியமாகும்.

பேக்கேஜில் காணப்படும் அதிக எண்ணிக்கையிலான பாதிப்புகள் அல்ட்ராவிஎன்சி, விண்டோஸ் இயங்குதளத்திற்கு மட்டுமே கிடைக்கும். UltraVNC இல் மொத்தம் 22 பாதிப்புகள் கண்டறியப்பட்டுள்ளன. 13 பாதிப்புகள் கணினியில் குறியீடு செயல்படுத்தப்படுவதற்கும், 5 நினைவக கசிவுக்கும், 4 சேவை மறுப்புக்கும் வழிவகுக்கும்.
வெளியீட்டில் பாதிப்புகள் சரி செய்யப்பட்டன 1.2.3.0.

திறந்த நூலகத்தில் LibVNC (LibVNCSserver மற்றும் LibVNCClient), இது பயன்படுத்தப்படுகிறது VirtualBox இல், 10 பாதிப்புகள் கண்டறியப்பட்டுள்ளன.
5 பாதிப்புகள் (CVE-2018-20020, CVE-2018-20019, CVE-2018-15127, CVE-2018-15126, CVE-2018-6307) இடையக நிரம்பி வழிவதால், குறியீடு செயல்படுத்தப்படுவதற்கு வழிவகுக்கும். 3 பாதிப்புகள் தகவல் கசிவுக்கு வழிவகுக்கும், 2 சேவை மறுப்பு.
அனைத்து சிக்கல்களும் ஏற்கனவே டெவலப்பர்களால் சரி செய்யப்பட்டுள்ளன, ஆனால் மாற்றங்கள் இன்னும் உள்ளன பிரதிபலித்தது மாஸ்டர் கிளையில் மட்டுமே.

В டைட்விஎன்சி (சோதனை செய்யப்பட்ட குறுக்கு-தளம் மரபு கிளை 1.3, தற்போதைய பதிப்பு 2.x விண்டோஸுக்கு மட்டுமே வெளியிடப்பட்டதால்), 4 பாதிப்புகள் கண்டறியப்பட்டன. மூன்று பிரச்சனைகள் (CVE-2019-15679, CVE-2019-15678, CVE-2019-8287) InitialiseRFBCconnection, rfbServerCutText மற்றும் HandleCoRREBBP செயல்பாடுகளில் இடையக நிரம்பி வழிவதால் ஏற்படுகிறது, மேலும் அவை குறியீடு செயலாக்கத்திற்கு வழிவகுக்கும். ஒரு பிரச்சனை (CVE-2019-15680) சேவை மறுப்புக்கு வழிவகுக்கிறது. TightVNC டெவலப்பர்கள் இருந்தாலும் அறிவிக்கப்பட்டது கடந்த ஆண்டு பிரச்சனைகள் பற்றி, பாதிப்புகள் சரி செய்யப்படவில்லை.

குறுக்கு-தளம் தொகுப்பில் டர்போவிஎன்சி (libjpeg-turbo நூலகத்தைப் பயன்படுத்தும் TightVNC 1.3 இன் ஃபோர்க்), ஒரே ஒரு பாதிப்பு கண்டறியப்பட்டது (CVE-2019-15683), ஆனால் இது ஆபத்தானது மற்றும், நீங்கள் சேவையகத்திற்கான அங்கீகரிக்கப்பட்ட அணுகலைப் பெற்றிருந்தால், உங்கள் குறியீட்டின் செயல்பாட்டை ஒழுங்கமைப்பதை இது சாத்தியமாக்குகிறது, ஏனெனில் இடையகம் நிரம்பி வழிகிறது, திரும்பும் முகவரியைக் கட்டுப்படுத்த முடியும். பிரச்சனை தீர்ந்துவிட்டது ஆகஸ்ட் ஆக மற்றும் தற்போதைய வெளியீட்டில் தோன்றவில்லை 2.2.3.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்