NVD Vulnerability Detail

CVE-2016-9941

Summary	Heap-based buffer overflow in rfbproto.c in LibVNCClient in LibVNCServer before 0.9.11 allows remote servers to cause a denial of service (application crash) or possibly execute arbitrary code via a crafted FramebufferUpdate message containing a subrectangle outside of the client drawing area.
Publication Date	Jan. 1, 2017, 3:59 a.m.
Registration Date	Jan. 26, 2021, 2:21 p.m.
Last Update	Nov. 21, 2024, 12:02 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:libvncserver_project:libvncserver::::::::			0.9.10

Related information, measures and tools

No	URL	refsource	タグ
1	http://www.debian.org/security/2017/dsa-3753
2	http://www.debian.org/security/2017/dsa-3753
3	http://www.securityfocus.com/bid/95170
4	http://www.securityfocus.com/bid/95170
5	https://github.com/LibVNC/libvncserver/pull/137
6	https://github.com/LibVNC/libvncserver/pull/137
7	https://github.com/LibVNC/libvncserver/releases/tag/LibVNCServer-0.9.11
8	https://github.com/LibVNC/libvncserver/releases/tag/LibVNCServer-0.9.11
9	https://lists.debian.org/debian-lts-announce/2019/10/msg00042.html
10	https://lists.debian.org/debian-lts-announce/2019/10/msg00042.html
11	https://security.gentoo.org/glsa/201702-24
12	https://security.gentoo.org/glsa/201702-24
13	https://usn.ubuntu.com/4587-1/
14	https://usn.ubuntu.com/4587-1/

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html

JVN Vulnerability Information

LibVNCServer の LibVNCClient の rfbproto.c におけるヒープベースのバッファオーバーフローの脆弱性

Title	LibVNCServer の LibVNCClient の rfbproto.c におけるヒープベースのバッファオーバーフローの脆弱性
Summary	LibVNCServer の LibVNCClient の rfbproto.c には、ヒープベースのバッファオーバーフローの脆弱性が存在します。
Possible impacts	リモートサーバにより、クライアントの描画領域の外にあるサブレクタングルを含む巧妙に細工された FramebufferUpdate メッセージを介して、サービス運用妨害 (アプリケーションクラッシュ) 状態にされる、または任意のコードを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Dec. 30, 2016, midnight
Registration Date	Jan. 13, 2017, 5:51 p.m.
Last Update	Jan. 13, 2017, 5:51 p.m.

Affected System

LibVNC

LibVNCServer 0.9.11 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-9941	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9941
National Vulnerability Database (NVD)
2	CVE-2016-9941	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9941

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	Name	URL
GitHub
1	Fix two heap buffer overflows #137	https://github.com/LibVNC/libvncserver/pull/137
2	LibVNCServer-0.9.11	https://github.com/LibVNC/libvncserver/releases/tag/LibVNCServer-0.9.11

Change Log

No	Changed Details	Date of change
0	[2017年01月13日] 掲載	Feb. 17, 2018, 10:37 a.m.