OSSN/OSSN-0044

较旧版本的 noVNC 允许会话劫持

总结

常见打包版本的 noVNC 即使在启用 TLS 的情况下，也允许攻击者劫持用户会话。noVNC 在设置包含身份验证令牌的 cookie 时，未能设置 secure 标志。

受影响的服务 / 软件

Nova，在 v0.5 之前的版本嵌入 noVNC 时

讨论

2013 年 10 月 28 日之前的 noVNC 版本，未正确为通过 TLS 提供服务的页面上的 cookie 设置 secure 标志。由于 noVNC 将身份验证令牌存储在这些 cookie 中，因此能够修改用户流量的攻击者可以窃取这些令牌并连接到 VNC 会话。

受影响的部署可以通过查找在启用 TLS 的安装中 noVNC 设置的 token cookie 上的“secure”标志来识别。如果缺少 secure 标志，则该安装存在漏洞。

截至撰写本文时，Debian、Ubuntu 和 Fedora 均未提供包含相应补丁的此软件包版本。

建议的操作

应将 noVNC 更新到版本 0.5 或更高版本。如果这不可行，则应单独应用上游补丁。

上游补丁：https://github.com/kanaka/noVNC/commit/ad941faddead705cd611921730054767a0b32dcd

联系方式 / 参考文献

• 作者：Paul McMillan, Nebula
• 此 OSSN：https://wiki.openstack.org/wiki/OSSN/OSSN-0044
• 原始 LaunchPad Bug：https://bugs.launchpad.net/nova/+bug/1420942
• OpenStack Security ML：openstack-security@lists.openstack.org
• OpenStack Security Group：https://launchpad.net/~openstack-ossg
• CVE：进行中-http://www.openwall.com/lists/oss-security/2015/02/17/1