注意:TightVNC 2.8.75 释出,修补 zlib 漏洞 CVE-2022-37434

作者:Sender  来源:WaveCN.com  发布日期:2023-02-27  最后修改日期:2023-02-27

相当有历史的VNC远程桌面软件:TightVNC 在2月18日释出了包含安全更新的 2.8.75 版本。之前的版本因链接到有安全缺陷的zlib函数库而连带产生安全缺陷,这是升级TightVNC的重要原因。

article banner

笔者:国际认证信息系统审计师、软考系统分析师

虽然TightVNC网站上没明确指出,但时间、版本、CVE清单等因素综合,TightVNC涉及的zlib漏洞应该是指 CVE-2022-37434,登记时间是2022年8月5日:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37434

zlib3d-b1

按介绍,zlib一直到1.2.12版本都存在一个基于堆的缓冲区过读或缓冲区溢出问题。在inflate.c内的代码执行inflate解压操作时,如果遇到特别大的gzip文件头额外字段时,就会触发这个漏洞,导致信息泄露或者拒绝服务。

注意:只有调用“inflateGetHeader”的应用程序才会受到影响。一些常见应用程序直接捆绑受影响的zlib源代码,但可能无法调用inflateGetHeader。node.js是其中一例不直接受影响的。

随后,在2022年10月13日,zlib释出了1.2.13版本,修正了该漏洞。详见:

https://www.zlib.net/

所以,这次TightVNC的更新就是典型的供应链漏洞。不过TightVNC更新得还是有点慢了。

TightVNC的下载地址:

https://www.tightvnc.com/download.php

话说TightVNC换了的新LOGO还挺好看:

tightvnc

本栏目相关
  •  2024-03-05 点评软件供应链安全框架 in-toto 的审计结果
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
  • 微信订阅号二维码

    本页网址二维码: