—–BEGIN PGP SIGNED MESSAGE—–
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Das Remote Framebuffer (RFB) Protocol wird von VNC zur Uebertragung der
Daten benutzt.
CVE-2008-4770 – Schwachstelle in der Funktion CMsgReader::readRect() des
VNC Viewers
Eine Schwachstelle in der Funktion CMsgReader::readRect() des VNC
Viewers erlaubt es Angreifer mit Kontrolle ueber einen VNC-Server den
Client zum Absturz zu bringen oder beliebigen Code mit den Rechten des
Benutzers auszufuehren, indem sie ein entsprechend aufgebautes RFB
Paket an den Viewer senden.
Der VNC Viewer for Java ist nicht betroffen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket vnc
Fedora 9
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-January/msg01018.html
https://www.redhat.com/archives/fedora-package-announce/2009-January/msg01025.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
16. DFN-Workshop Sicherheit in vernetzten Systemen
https://www.dfn-cert.de/ws2009/
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-1001
2009-01-27 00:36:46
– ——————————————————————————–
Name : vnc
Product : Fedora 9
Version : 4.1.3
Release : 1.fc9
URL : http://www.realvnc.com
Summary : A remote display system
Description :
Virtual Network Computing (VNC) is a remote display system which
allows you to view a computing ‘desktop’ environment not only on the
machine where it is running, but from anywhere on the Internet and
from a wide variety of machine architectures. This package contains a
client which will allow you to connect to other desktops running a VNC
server.
– ——————————————————————————–
Update Information:
Update to 4.1.3 maintenance release which contains fix for CVE-2008-4770
– ——————————————————————————–
ChangeLog:
* Mon Jan 26 2009 Adam Tkac
– – updated to 4.1.3 (CVE-2008-4770)
* Wed Nov 12 2008 Adam Tkac
– – minor correction in configure flags to make GLX working (#471166)
* Mon Jun 30 2008 Adam Tkac
– – enabled XKEYBOARD extension (#450033)
– – improved IPv6 support in viewer (#438422)
– ——————————————————————————–
References:
[ 1 ] Bug #480590 – CVE-2008-4770 vnc: vncviewer insufficient encoding value validation in CMsgReader::readRect
https://bugzilla.redhat.com/show_bug.cgi?id=480590
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update vnc’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBSX8s1UhXCWfrVVdXAQHPmAf6A7DAsY+vcl6SiLOtCtM0JC9cFOwxKeoz
ELytNkcOhgX+XW1FpE31YGrjdX12CeB6OshdZqYd58nbG5KPU8suwVikG59ent1e
4VSihWNtBaDT1EsqCJKmDPKQjWUiBz8V9tdwar2OjM6vvPf35LAwEDeFu5gX9CDB
k67W2yAPKGrMYO84zlNJdyBzGUN3uHCTWrSggO7R6iPxgl740q6dW/1lMFIMYIB/
1ZiHg/m9+IK4lguxngU0Vcs+PRQ8FO+asOAA7sNFiiKcFdHVMc2Bd4BN07WfhZAs
CnI1dfkYw4IcMfyJ1d0l3xsKJxC76CCM9eyfEDlp4eEItSt4sqnsIA==
=indC
—–END PGP SIGNATURE—–
