Bulletin d'alerte Debian

DLA-380-1 libvncserver -- Mise à jour de sécurité pour LTS

Date du rapport :
4 janvier 2016
Paquets concernés :
libvncserver
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Un problème a été découvert et résolu par le développeur amont de libvncserver, Karl Runge, concernant la sécurité des processus légers dans libvncserver lorsque celui-ci est utilisé pour le traitement de plusieurs connexions VNC [1].

Malheureusement, il n’est pas possible de rétroporter simplement (à cause de la casse de l’ABI) le correctif relatif à libvncserver 0.9.7 fourni dans Debian Squeeze(-lts).

Cependant, le correctif sécurisé évoqué résout un problème relatif à une corruption de mémoire causée par une libération de variables globales sans les régler à NULL lors de leur réutilisation dans un autre processus léger, ce qui arrive particulièrement lorsque libvncserver est utilisé pour le traitement de plusieurs connexions VNC.

Le problème décrit a été résolu dans cette version de libvncserver, et il est recommandé aux utilisateurs de VNC de mettre à niveau vers cette version de paquet.