[Thinlinc-announce] Säkerhetsinformation ThinLinc/Webmin

Peter Åstrand peter at cendio.se
Fri Feb 28 10:32:56 CET 2003


Det här brevet innehåller information om säkerhetsproblem i programvarorna 
VNC och Webmin, som används i ThinLinc. 


Sårbarhet i VNC
===============
Två säkerhetsproblem har nyligen upptäckts i VNC:

* CAN-2002-1336: Samma "challenge" genereras för flera anslutningar

* CAN-2002-1511: vncserver-scriptet använder funktionen 
  rand() istället för srand(). 

ThinLinc påverkas EJ av dessa sårbarheter. För mer information, se:

 http://marc.theaimsgroup.com/?l=bugtraq&m=102753170201524
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1336
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1511


Sårbarhet i Webmin (CAN-2003-0101)
==================================
Ett säkerhetshål har nyligen upptäckts i Webmin. Genom att förfalska ett 
sessions-ID kan man få fulla rättigheter i Webmin. För mer information, 
se:

 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0101
 http://marc.theaimsgroup.com/?l=webmin-announce&m=104587858408101&w=2

Ni som använder Webmin bör uppgradera snarast. 


Policy för säkerhetsuppgraderingar i ThinLinc
=============================================
Det är endast de paket som finns i katalogen /serverkit-linux på 
server-CDn som ingår i produkten ThinLinc. Paket i /extras-katalogen 
skickas med som en service, men betraktas som en del av plattformen. Många 
av dessa paket ingår också i flera Linuxdistributioner. Vi ansvarar ej för 
säkerhetsuppgraderingar av dessa paket. När nya versioner av ThinLinc ges 
ut försöker vi dock se till så att paketen i /extras-katalogen är 
uppdaterade. 


-- 
Peter Åstrand                Telephone: +46-13-21 46 00
Cendio Systems               E-mail: peter at cendio.se
Teknikringen 3
583 30 Linköping









More information about the Thinlinc-announce mailing list