CERTA-2006-AVI-299
Vulnerability from certfr_avis

Une vulnérabilité dans libVNCServer permet à un utilisateur distant de contourner la politique de sécurité du logiciel vulnérable.

Description

la bibliothèque de fonctions libVNCServer permet de mettre en œuvre des services de bureau distant comme par exemple VNCServer.
Une erreur présente dans les fonctions d'authentification de cette bibliothèque permet à un utilisateur distant de contourner l'authentification mise en place dans une application basée sur cette bibliothèque. Il peut alors obtenir un accès illégitime à tout ou partie de l'application vulnérable.

Solution

La version 0.8.2 de libVNCServer corrige le problème :

http://www.sourceforge.net/project/showfiles.php?group_id=32584

libVNCServer versions 0.8.1 et antérieures.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003elibVNCServer versions 0.8.1 et  ant\u00e9rieures.\u003c/p\u003e",
  "content": "## Description\n\nla biblioth\u00e8que de fonctions libVNCServer permet de mettre en \u0153uvre des\nservices de bureau distant comme par exemple VNCServer.  \nUne erreur pr\u00e9sente dans les fonctions d\u0027authentification de cette\nbiblioth\u00e8que permet \u00e0 un utilisateur distant de contourner\nl\u0027authentification mise en place dans une application bas\u00e9e sur cette\nbiblioth\u00e8que. Il peut alors obtenir un acc\u00e8s ill\u00e9gitime \u00e0 tout ou partie\nde l\u0027application vuln\u00e9rable.\n\n## Solution\n\nLa version 0.8.2 de libVNCServer corrige le probl\u00e8me :\n\n    http://www.sourceforge.net/project/showfiles.php?group_id=32584\n",
  "cves": [
    {
      "name": "CVE-2006-2450",
      "url": "https://www.cve.org/CVERecord?id=CVE-2006-2450"
    }
  ],
  "initial_release_date": "2006-07-18T00:00:00",
  "last_revision_date": "2006-08-08T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200608-05 du 04 ao\u00fbt 2006    :",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200608-05.xml"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200608-12 du 07 ao\u00fbt 2006    concernant x11vnc :",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200608-12.xml"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Suse SUSE-SA:2006:042 du 26 juillet    2006 :",
      "url": "http://lists.suse.com/archive/suse-security-announce/2006-Jul/0008.html"
    },
    {
      "title": "Site de libVNCServer :",
      "url": "http://libvncserver.sourceforge.net"
    }
  ],
  "reference": "CERTA-2006-AVI-299",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2006-07-18T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Gentoo et Suse.",
      "revision_date": "2006-08-04T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo concernant x11vnc.",
      "revision_date": "2006-08-08T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans libVNCServer permet \u00e0 un utilisateur distant de\ncontourner la politique de s\u00e9curit\u00e9 du logiciel vuln\u00e9rable.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans libVNCServer",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Rapport d\u0027erreur Debian #376824",
      "url": "http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=376824"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.