本页内容二维码:
本页内容二维码:
相当有历史的VNC远程桌面软件:TightVNC 在2月18日释出了包含安全更新的 2.8.75 版本。之前的版本因链接到有安全缺陷的zlib函数库而连带产生安全缺陷,这是升级TightVNC的重要原因。
虽然TightVNC网站上没明确指出,但时间、版本、CVE清单等因素综合,TightVNC涉及的zlib漏洞应该是指 CVE-2022-37434,登记时间是2022年8月5日:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37434
按介绍,zlib一直到1.2.12版本都存在一个基于堆的缓冲区过读或缓冲区溢出问题。在inflate.c内的代码执行inflate解压操作时,如果遇到特别大的gzip文件头额外字段时,就会触发这个漏洞,导致信息泄露或者拒绝服务。
注意:只有调用“inflateGetHeader”的应用程序才会受到影响。一些常见应用程序直接捆绑受影响的zlib源代码,但可能无法调用inflateGetHeader。node.js是其中一例不直接受影响的。
随后,在2022年10月13日,zlib释出了1.2.13版本,修正了该漏洞。详见:
所以,这次TightVNC的更新就是典型的供应链漏洞。不过TightVNC更新得还是有点慢了。
TightVNC的下载地址:
话说TightVNC换了的新LOGO还挺好看:
