检测

Amazon Linux 2tigervnc、 --advisory ALAS2-2025-3065 (ALAS-2025-3065)

high Nessus 插件 ID 274666

语言:

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 tigervnc 版本低于 1.8.0-24。因此,该软件受到 ALAS2-2025-3065 公告中提及的多个漏洞影响。

 处理 X11 Present 扩展通知时在 X.Org X 服务器和 Xwayland 中发现一个缺陷。
 创建通知期间不当的错误处理可留下悬摆指针从而导致释放后使用的情况。这可造成内存损坏或崩溃从而可能允许攻击者执行任意代码或造成拒绝服务。 (CVE-2025-62229)

 删除客户端的 Xkb 资源时函数 XkbRemoveResourceClient() 将释放与该设备关联的 XkbInterest 数据但不会释放与之关联的资源。因此当客户端终止时资源删除函数会触发释放后使用。

 注意:https://lists.x.org/archives/xorg-announce/2025-October/003635.htmlNOTE: 已由以下人员修复:
 https://gitlab.freedesktop.org/xorg/xserver/-/commit/99790a2c9205a52fbbec01f21a92c9b7f4ed1d8fNOTE: 修复者 https://gitlab.freedesktop.org/xorg/xserver/-/commit/10c94238bdad17c11707e0bdaaa3a9cd54c504beNOTE:Fixed 修复者 https://gitlab.freedesktop.org/xorg/xserver/-/commit/865089ca70840c0f13a61df135f7b44a9782a175(xorg-server-21.1.19)NOTE: 修复者
 https://gitlab.freedesktop.org/xorg/xserver/-/commit/87fe2553937a99fd914ad0cde999376a3adc3839 (xorg-server-21.1.19) (CVE-2025-62230)

 XkbCompatMap 结构使用无符号 short 值存储其某些值但无法检查输入数据的总和是否可能溢出最大无符号 short 值

 在 X11R6 中引入

 已在 xorg-server-21.1.19 和 xwayland-24.1.9 中修复修复
 https://gitlab.freedesktop.org/xorg/xserver/-/commit/475d9f49

 注意:https://lists.x.org/archives/xorg-announce/2025-October/003635.htmlNOTE: 已由以下人员修复:
 https://gitlab.freedesktop.org/xorg/xserver/-/commit/475d9f49acd0e55bc0b089ed77f732ad18585470NOTE: 修复方式 https://gitlab.freedesktop.org/xorg/xserver/-/commit/3baad99f9c15028ed8c3e3d8408e5ec35db155aa (xorg-server-21.1.19) (CVE-2025-62231)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“yum update tigervnc”或“yum update --advisory ALAS2-2025-3065”以更新系统。

另见

https://alas.aws.amazon.com//AL2/ALAS2-2025-3065.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2025-62229.html

https://explore.alas.aws.amazon.com/CVE-2025-62230.html

https://explore.alas.aws.amazon.com/CVE-2025-62231.html

插件详情

严重性: High

ID: 274666

文件名: al2_ALAS-2025-3065.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2025/11/11

最近更新时间: 2025/11/11

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 7.0

CVSS v2

风险因素: High

基本分数: 9

时间分数: 6.7

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 分数来源: CVE-2025-62231

CVSS v3

风险因素: High

基本分数: 7.3

时间分数: 6.4

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:tigervnc, p-cpe:/a:amazon:linux:tigervnc-server, p-cpe:/a:amazon:linux:tigervnc-debuginfo, p-cpe:/a:amazon:linux:tigervnc-server-applet, p-cpe:/a:amazon:linux:tigervnc-server-minimal, p-cpe:/a:amazon:linux:tigervnc-icons, p-cpe:/a:amazon:linux:tigervnc-license, p-cpe:/a:amazon:linux:tigervnc-server-module

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2025/11/10

漏洞发布日期: 2025/10/28

参考资料信息

CVE: CVE-2025-62229, CVE-2025-62230, CVE-2025-62231