BDU:2021-05229

Опубликовано: 28 сент. 2020

Источник: fstec

CVSS3: 8.1

CVSS2: 5.8

EPSS Низкий

Описание

Уязвимость программного обеспечения для реализации VNC TigerVNC связана с неправильной обработкой исключения сертификатов TLS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность

Вендор

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

TigerVNC developers

АО "НППКТ"

Наименование ПО

Debian GNU/Linux

Astra Linux Special Edition

Astra Linux Special Edition для «Эльбрус»

TigerVNC

ОСОН ОСнова Оnyx

Версия ПО

9 (Debian GNU/Linux)

1.6 «Смоленск» (Astra Linux Special Edition)

8 (Debian GNU/Linux)

10 (Debian GNU/Linux)

8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

до 1.11.0 (TigerVNC)

до 2.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Сообщество свободного программного обеспечения Debian GNU/Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 10

ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Для Tigervnc:

Использование рекомендаций производителя: https://github.com/TigerVNC/tigervnc/commit/20dea801e747318525a5859fe4f37c52b05310cb

Для Debian:

Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-26117

Для Astra Linux:

Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

Для ОСОН Основа:

Обновление программного обеспечения tigervnc до версии 1.9.0+dfsg-3+deb10u3

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:

обновить пакет tigervnc до 1.11.0+dfsg-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-26117
CVE

EPSS

Процентиль: 76%

0.00935

Низкий

8.1 High

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

CVE-2020-26117

CVSS3: 8.1

ubuntu

больше 5 лет назад

In rfb/CSecurityTLS.cxx and rfb/CSecurityTLS.java in TigerVNC before 1.11.0, viewers mishandle TLS certificate exceptions. They store the certificates as authorities, meaning that the owner of a certificate could impersonate any server after a client had added an exception.

CVE-2020-26117

CVSS3: 8.1

redhat

больше 5 лет назад

CVE-2020-26117

CVSS3: 8.1

nvd

больше 5 лет назад

CVE-2020-26117

CVSS3: 8.1

debian

больше 5 лет назад

In rfb/CSecurityTLS.cxx and rfb/CSecurityTLS.java in TigerVNC before 1 ...

openSUSE-SU-2020:1841-1

suse-cvrf

больше 5 лет назад

Security update for tigervnc

EPSS

Процентиль: 76%

0.00935

Низкий

8.1 High

CVSS3

5.8 Medium

CVSS2