漏洞标题
Jupyter 远程桌面代理使 TigerVNC 可以通过网络访问,而不仅仅是通过预期的 UNIX 套接字访问
漏洞描述信息
## 漏洞概述
Jupyter Remote Desktop Proxy 允许在 JupyterHub 上运行一个 Linux 桌面,但在特定情况下存在安全漏洞。
## 影响版本
- **影响版本**: 3.0.0 到 3.0.1
- **修复版本**: 3.0.1
## 细节
从版本 3.0.0 开始,jupyter-remote-desktop-proxy 应该依赖于仅当前用户可读的 UNIX 套接字。然而,在与 TigerVNC 结合使用时,由 jupyter-remote-desktop-proxy 启动的 VNC 服务器仍可通过网络访问。如果使用的 vncserver 可执行文件为 TurboVNC,则不会受到此漏洞的影响。
## 影响
由于该漏洞,TigerVNC 用户可能会暴露其远程桌面连接至网络攻击者。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
认证机制不恰当
漏洞标题
Jupyter Remote Desktop Proxy makes TigerVNC accessible via the network and not just via a UNIX socket as intended
漏洞描述信息
Jupyter Remote Desktop Proxy allows you to run a Linux Desktop on a JupyterHub. jupyter-remote-desktop-proxy was meant to rely on UNIX sockets readable only by the current user since version 3.0.0, but when used with TigerVNC, the VNC server started by jupyter-remote-desktop-proxy were still accessible via the network. This vulnerability does not affect users having TurboVNC as the vncserver executable. This issue is fixed in 3.0.1.
CVSS信息
N/A
漏洞类别
将资源暴露给错误范围
漏洞标题
Jupyter Remote Desktop Proxy 安全漏洞
漏洞描述信息
Jupyter Remote Desktop Proxy是JupyterHub开源的一个应用程序。 Jupyter Remote Desktop Proxy 3.0.1之前版本存在安全漏洞,该漏洞源于与TigerVNC使用时VNC服务器仍可通过网络访问。
CVSS信息
N/A
漏洞类别
其他