Boletines de Vulnerabilidades

int(2387)

Boletines de Vulnerabilidades

Salto de restricciones de seguridad en RealVNC
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Obtener acceso
Dificultad	Principiante
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio exotico
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	GNU/Linux
Software afectado	RealVNC 4.1.0-4.1.1
Descripción
Se ha descubierto una vulnerabilidad en RealVNC 4.1.0 y 4.1.1. La vulnerabilidad reside en un error en el manejo de la solicitud de contraseñas durante el proceso de autenticación que permite al cliente seleccionar el mecanismo de autenticación "no autenticación". Un atacante remoto podría saltarse el sistema de autenticación de RealVNC y acceder al sistema.
Solución
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. RealVNC RealVNC Free Edition / 4.1.2 RealVNC Personal Edition/Enterprise Edition / 4.2.3 http://www.realvnc.com/download.html Cisco Cisco CallManager (RealVNC 4.1.2) / win-OS-Upgrade-K9.2000-4-2sr8.exe http://www.cisco.com/pcgi-bin/tablebuild.pl/cmva-3des
Identificadores estándar
Propiedad	Valor
CVE	CVE-2006-2369
BID	17978
Recursos adicionales
RealVNC http://www.realvnc.com/products/free/4.1/release-notes.html RealVNC http://www.realvnc.com/products/personal/4.2/release-notes.html RealVNC http://www.realvnc.com/products/enterprise/4.2/release-notes.html Intelliadmin Security flaw in RealVNC 4.1.1 http://www.intelliadmin.com/blog/2006/05/security-flaw-in-realvnc-411.html Secunia Advisory (SA20107) http://secunia.com/advisories/20107/ Cisco Security Advisory (70509) http://www.cisco.com/warp/public/707/cisco-sr-20060622-cmm.shtml

Histórico de versiones
Versión	Comentario	Fecha
1.0	Aviso emitido	2006-05-17
1.1	CVE añadido. Otras referencias añadidas.	2006-06-20
1.2	Aviso emitido por Cisco (70509)	2006-06-23