Debians sikkerhedsbulletin

DLA-380-1 libvncserver -- LTS-sikkerhedsopdatering

Rapporteret den:
4. jan 2016
Berørte pakker:
libvncserver
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.
Yderligere oplysninger:

Et problem er opdaget og løst i libvncserver af opstrømsudvikler Karl Runge, der håndterer trådsikkerhed i libvncserver når libvncserver anvendes til håndtering af mange VNC-forbindelser [1].

Desværre er det ikke trivielt let (på grund af ABI-ændringer) at tilbageføre den relaterede rettelse til libvncserver 0.9.7, som leveres i Debian squeeze(-lts).

Dog løste den nævnte trådsikkerhedsrettelse et relateret problem med hukommelseskorruption, forårsaget af frigivelse af globale variabler uden at null'e dem, når de genbruges i en anden tråd, særligt noget der opstod når libvncserver blev anvendt til at håndtere mange VNC-forbindelser.

Det beskrevne problem er løst med denne version af libvncserver, og det anbefales at brugere af VNC opgraderer til denne version af pakken.