Apache Guacamole终端模拟器漏洞CVE-2024-35164

Apache Guacamole是开源远程桌面网关，由客户端和服务器端组件组成，利用HTML5、WebSocket等技术实现无需安装软件的远程访问。

Apache Guacamole作为一款无客户端的远程桌面网关，旨在实现通过标准的网络协议（如VNC、RDP、SSH）提供远程系统的无缝访问。

一、基本情况

Apache Guacamole开源远程桌面网关支持通过Web浏览器进行远程连接，架构主要分为两个：Guacamole Server 和 Guacamole Client。

Apache Guacamole利用WebSocket技术提供远程桌面访问，凭借独特的无代理架构成为企业级环境远程桌面和应用程序访问的理想选择。

栋科技漏洞库关注到Apache Guacamole 1.5.5及以下版本控制台代码的输入验证不正确漏洞，追踪为CVE-2024-35164，CVSS评分为3.1。

二、漏洞分析

CVE-2024-35164是Apache Guacamole 1.5.5及以下版本终端模拟器处理通过SSH等文本协议从服务器接收终端代码时存在验证不当问题。

该漏洞源于Apache Guacamole 1.5.5及更早版本终端模拟器/控制台不支持 正确验证通过基于文本的 SSH之类的协议，漏洞危害相对较小。

若恶意用户能够通过文本连接访问系统，那么通过精心设计的终端代码序列，可能允许执行任意代码并具备正在运行的guacd进程的权限。

简而言之，若恶意用户能够访问基于文本的 连接，那么通过一个特制的控制台代码序列可以允许 以运行guacd的权限执行任意代码 过程。

该漏洞由Tizian Seehaus（Tibotix）上报，官方现已发布Apache Guacamole 1.6.0版本修复这一漏洞，建议更新当前系统或软件至最新版。

三、影响范围

0.8.0 <= Apache Guacamole <= 1.5.5

四、修复建议

Apache Guacamole >=1.6.0

五、参考链接

管理员已设置登录后刷新可查看