Bulletin d'alerte Debian

DSA-2839-1 spice -- Déni de service

Date du rapport :
8 janvier 2014
Paquets concernés :
spice
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 717030, Bogue 728314.
Dans le dictionnaire CVE du Mitre : CVE-2013-4130, CVE-2013-4282.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans spice, une bibliothèque client et serveur pour le protocole SPICE. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2013-4130

    David Gibson de Red Hat a découvert que SPICE gérait incorrectement certaines erreurs réseau. Un utilisateur distant capable d'initier une connexion SPICE avec une application agissant comme un serveur SPICE pourrait utiliser ce défaut pour planter l'application.

  • CVE-2013-4282

    Tomas Jamrisko de Red Hat a découvert que SPICE gérait incorrectement les mots de passe longs dans les tickets SPICE. Un utilisateur distant capable d'initier une connexion SPICE avec une application agissant comme un serveur SPICE pourrait utiliser ce défaut pour planter l'application.

Les applications agissant comme des serveurs SPICE doivent être redémarrées pour que cette mise à jour prenne effet.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 0.11.0-1+deb7u1.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 0.12.4-0nocelt2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.12.4-0nocelt2.

Nous vous recommandons de mettre à jour vos paquets spice.