Säkerhetsbulletin från Debian

DSA-2839-1 spice -- överbelastning

Rapporterat den:
2014-01-08
Berörda paket:
spice
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 717030, Fel 728314.
I Mitres CVE-förteckning: CVE-2013-4130, CVE-2013-4282.
Ytterligare information:

Flera sårbarheter har upptäckts i spice, ett klient- och serverbibliotek för SPICE-protokollet. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-4130

    David Gibson från Red Hat upptäckte att SPICE felaktigt hanterar vissa nätverksfel. En fjärrangripare som kan initiera en SPICE-anslutning till en applikation som agerar som en SPICE-server kunde använda denna sårbarhet för att krascha applikationen.

  • CVE-2013-4282

    Tomas Jamrisko från Red Hat upptäckte att SPICE felaktigt hanterade långa lösenord i SPICE-kvitton. En fjärrangripare med möjlighet att initiera en SPICE-anslutning till en applikation som agerar som en SPICE-server kunde använda denna brist för att krascha applikationen.

Applikationer som agerar som en SPICE-server måste startas om för att denna uppdatering skall ha någon effekt.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 0.11.0-1+deb7u1.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 0.12.4-0nocelt2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.12.4-0nocelt2.

Vi rekommenderar att ni uppgraderar era spice-paket.