LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-380-1 libvncserver

Bulletin d'alerte Debian

DLA-380-1 libvncserver -- Mise à jour de sécurité pour LTS

Date du rapport :

4 janvier 2016

Paquets concernés :

libvncserver

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Un problème a été découvert et résolu par le développeur amont de libvncserver, Karl Runge, concernant la sécurité des processus légers dans libvncserver lorsque celui-ci est utilisé pour le traitement de plusieurs connexions VNC [1].

Malheureusement, il n’est pas possible de rétroporter simplement (à cause de la casse de l’ABI) le correctif relatif à libvncserver 0.9.7 fourni dans Debian Squeeze(-lts).

Cependant, le correctif sécurisé évoqué résout un problème relatif à une corruption de mémoire causée par une libération de variables globales sans les régler à NULL lors de leur réutilisation dans un autre processus léger, ce qui arrive particulièrement lorsque libvncserver est utilisé pour le traitement de plusieurs connexions VNC.

Le problème décrit a été résolu dans cette version de libvncserver, et il est recommandé aux utilisateurs de VNC de mettre à niveau vers cette version de paquet.