当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

novnc会话劫持漏洞(CVE-2013-7436)

     发表日期:2015-04-27 14:02:18

novnc会话劫持漏洞(CVE-2013-7436)
CVE-ID:CVE-2013-7436
发布日期:2015-04-22
更新日期:2015-04-24
受影响系统:
github noVNC < 0.5
详细信息:
 
noVNC是用HTML5 Canvas及WebSockets实现的基于浏览器的VNC客户端。
 
 
 
noVNC 0.5之前版本没有对https会话的cookie设置安全的标识,这可使远程攻击者截获http会话传输,获取cookie。
 
 
来源:
Paul McMillan
解决办法:
厂商补丁:
 
github
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
 
 
https://bugzilla.redhat.com/show_bug.cgi?id=1193451
 
 
 
https://github.com/kanaka/noVNC/commit/ad941faddead705cd611921730054767a0b32dcd