DFN-CERT-2017-0253 TigerVNC: Eine Schwachstelle ermöglicht einen Denial-of-Service Angriff [Linux][SuSE]

DFN-CERT-2017-0253 TigerVNC: Eine Schwachstelle ermöglicht einen Denial-of-Service Angriff [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

TigerVNC

Betroffene Plattformen:

openSUSE Leap 42.1
openSUSE Leap 42.2

Eine Schwachstelle in TigerVNC ermöglicht einem entfernten, nicht
authentisierten Angreifer die Durchführung eines Denial-of-Service
(DoS)-Angriffs.

Für openSUSE Leap 42.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates
bereit.

Patch:

openSUSE Security Update openSUSE-SU-2017:0444-1

http://lists.opensuse.org/opensuse-updates/2017-02/msg00053.html

CVE-2016-10207: Schwachstelle in TigerVNC ermöglicht
Denial-of-Service-Angriff

Wird ein TLS-Handshake vorzeitig abgebrochen führt TigerVNC eine zu
tiefgreifende Bereinigung durch und deinitialisiert GnuTLS über die Funktion
‘gnutls_global_deinit’, wodurch die Sperre (Lock) im Zufallszahlengenerator
danach den Zustand NULL hat. In einem folgendem Verbindungsversuch führt
dies zur Dereferenzierung des NULL-Zeigers, wodurch die Anwendung abstürzt
(Denial-of-Service, DoS).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0253/

Schwachstelle CVE-2016-10207 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10207

openSUSE Security Update openSUSE-SU-2017:0444-1:
http://lists.opensuse.org/opensuse-updates/2017-02/msg00053.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben