RHEL 6:tigervnc (RHSA-2025:12751)
critical Nessus 插件 ID 243455
语言:
简介
远程 Red Hat 主机缺少一个或多个 tigervnc 安全更新。描述
远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2025:12751 公告中提及的多个漏洞的影响。虚拟网络计算 (VNC) 是一个远程显示系统,使用户不仅可以在运行计算桌面环境的机器上查看计算桌面环境,还可以从 Internet 上的任何位置以及各种计算机架构中进行查看。TigerVNC 是 VNC 服务器和客户端的套件。
安全修复:
* xorg-x11-server:XTestSwapFakeInput 堆栈溢出 (CVE-2022-46340)
* xorg-x11-server:XIPassiveUngrab 越界访问 (CVE-2022-46341)
* xorg-x11-server:XvdiSelectVideoNotify 释放后使用 (CVE-2022-46342)
* xorg-x11-server:ScreenSaverSetAttributes 释放后使用 (CVE-2022-46343)
* xorg-x11-server:XIChangeProperty 越界访问 (CVE-2022-46344)
* xorg-x11-server:XkbGetKbdByName 释放后使用 (CVE-2022-4283)
* xorg-x11-server:DeepCopyPointerClasses 释放后使用导致特权提升 (CVE-2023-0494)
* xorg-x11-server:X.Org 服务器覆盖窗口释放后使用本地特权提升漏洞 (CVE-2023-1393)
* xorg-x11-server:XIChangeDeviceProperty/RRChangeOutputProperty 中的越界写入漏洞 (CVE-2023-5367)
* xorg-x11-server:RRChangeOutputProperty 和 RRChangeProviderProperty 中发生越界内存读取 (CVE-2023-6478)
* xorg-x11-server:XISendDeviceHierarchyEvent 中的堆缓冲区溢出漏洞(CVE-2024-21885,ZDI-CAN-22744)
* xorg-x11-server:DisableDevice 中的堆缓冲区溢出漏洞(CVE-2024-21886,ZDI-CAN-22840)
* xorg-x11-server:重新连接到不同的主设备可能导致越界内存访问(CVE-2024-0229,ZDI-CAN-22678)
* xorg-x11-server:DeviceFocusEvent 和 ProcXIQueryPointer 中的堆缓冲区溢出漏洞 (CVE-2023-6816)
* xorg-x11-server:ProcXIGetSelectedEvents 中的堆缓冲区过度读取/数据泄漏漏洞 (CVE-2024-31080)
* xorg-x11-server:ProcXIPassiveGrabDevice 中的堆缓冲区过度读取/数据泄漏漏洞 (CVE-2024-31081)
* xorg-x11-server:ProcRenderAddGlyphs 中的释放后使用漏洞 (CVE-2024-31083)
* xorg-x11-server: tigervnc:基于堆的缓冲区溢出特权提升漏洞 (CVE-2024-9632)
有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
依据 RHSA-2025:12751 中的指南更新 RHEL tigervnc 程序包。另见
https://access.redhat.com/security/updates/classification/#important
https://bugzilla.redhat.com/show_bug.cgi?id=2151755
https://bugzilla.redhat.com/show_bug.cgi?id=2151756
https://bugzilla.redhat.com/show_bug.cgi?id=2151757
https://bugzilla.redhat.com/show_bug.cgi?id=2151758
https://bugzilla.redhat.com/show_bug.cgi?id=2151760
https://bugzilla.redhat.com/show_bug.cgi?id=2151761
https://bugzilla.redhat.com/show_bug.cgi?id=2165995
https://bugzilla.redhat.com/show_bug.cgi?id=2180288
https://bugzilla.redhat.com/show_bug.cgi?id=2243091
https://bugzilla.redhat.com/show_bug.cgi?id=2253298
https://bugzilla.redhat.com/show_bug.cgi?id=2256540
https://bugzilla.redhat.com/show_bug.cgi?id=2256542
https://bugzilla.redhat.com/show_bug.cgi?id=2256690
https://bugzilla.redhat.com/show_bug.cgi?id=2257691
https://bugzilla.redhat.com/show_bug.cgi?id=2271997
https://bugzilla.redhat.com/show_bug.cgi?id=2271998
https://bugzilla.redhat.com/show_bug.cgi?id=2272000
https://bugzilla.redhat.com/show_bug.cgi?id=2317233
插件详情
严重性: Critical
ID: 243455
文件名: redhat-RHSA-2025-12751.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/8/4
最近更新时间: 2025/8/4
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
Vendor
Vendor Severity: Important
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2023-6816
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:tigervnc, p-cpe:/a:redhat:enterprise_linux:tigervnc-server-module, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:rhel_els:6, p-cpe:/a:redhat:enterprise_linux:tigervnc-server, p-cpe:/a:redhat:enterprise_linux:tigervnc-server-applet
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2025/8/4
漏洞发布日期: 2022/12/14
参考资料信息
CVE: CVE-2022-4283, CVE-2022-46340, CVE-2022-46341, CVE-2022-46342, CVE-2022-46343, CVE-2022-46344, CVE-2023-0494, CVE-2023-1393, CVE-2023-5367, CVE-2023-6478, CVE-2023-6816, CVE-2024-0229, CVE-2024-21885, CVE-2024-21886, CVE-2024-31080, CVE-2024-31081, CVE-2024-31083, CVE-2024-9632