Debians sikkerhedsbulletin

DSA-2839-1 spice -- lammelsesangreb

Rapporteret den:
8. jan 2014
Berørte pakker:
spice
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 717030, Fejl 728314.
I Mitres CVE-ordbog: CVE-2013-4130, CVE-2013-4282.
Yderligere oplysninger:

Flere sårbarheder er fundet i spice, et klient- og serverbibiotek til SPICE-protokollen. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2013-4130

    David Gibson fra Red Hat, opdagede at SPICE håndterede visse netværksfejl på ukorrekt vis. En fjernbruger med mulighed for at iværksætte en SPICE-forbindelse til en applikation, fungerende som en SPICE-server, kunne anvende fejlen til at få applikationen til at gå ned.

  • CVE-2013-4282

    Tomas Jamrisko fra Red Hat, opdagede at SPICE håndterede visse lange adgangskoder i SPICE-tickets på ukorrekt vis. En fjernbruger med mulighed for at iværksætte en SPICE-forbindelse til en applikation, fungerende som en SPICE-server, kunne anvende fejlen til at få applikationen til at gå ned.

Applikationer, der fungerer som en SPICE-server, skal genstartes for at denne opdatering kan træde i kraft.

I den stabile distribution (wheezy), er disse problemer rettet i version 0.11.0-1+deb7u1.

I distributionen testing (jessie), er disse problemer rettet i version 0.12.4-0nocelt2.

I den ustabile distribution (sid), er disse problemer rettet i version 0.12.4-0nocelt2.

Vi anbefaler at du opgraderer dine spice-pakker.