RealVNCに深刻な脆弱性、パスワード認証なしでリモートアクセスの恐れ

オープンソースのPC遠隔操作ソフトウェア「RealVNC」に、パスワードを知らなくともリモートホストにアクセスできてしまうという深刻な脆弱性が発見された。

» 2006年05月16日 20時15分 公開
[ITmedia]

 オープンソースのPC遠隔操作ソフトウェア「RealVNC」に、深刻な脆弱性が発見された。悪用されれば、パスワード認証を経ることなく端末にリモートアクセスできてしまうという。配布元の英RealVNCでは、問題を修正した最新バージョンへの早急なアップグレードを推奨している。

 RealVNCは、手元のPCからリモートのコンピュータにアクセスし、遠隔操作を行えるようにするソフトウェア。オープンソースとして提供されているFree Editonのほか、Personal EditionとEnterprise Editionがある。脆弱性はいずれのエディションにも存在する。

 Secuniaなどの情報によると、RealVNCのパスワード認証リクエストの処理に脆弱性が存在する。このため、たとえパスワードを知らなくとも、認証なしでリモートのRealVNCホストにアクセスできてしまうという。

 脆弱性を発見したIntelliAdminでは、手元のPCで稼働しているRealVNCに脆弱性が存在しているかどうかを確認できるよう、Webサイトで実証コードを公表した。

 対策は、問題を修正した最新バージョンにアップグレードすること。RealVNSは5月12日付けで、Free Editionのバージョン4.1.2、Personal Edition/Enterprise Editionのバージョン4.2.3をリリースし、「可能な限り早期に」バージョンアップするよう呼びかけている。

 またSANS ISCでは管理者に対し、手元のネットワークでRealVNCサーバが稼働していないかどうかをスキャンし、発見されたものについてアップグレードするよう勧めている。この脆弱性を悪用するコードを検出するためのSnortシグネチャも公開されたという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ