Bulletin d'alerte Debian

DLA-1489-1 spice-gtk -- Mise à jour de sécurité pour LTS

Date du rapport :
31 août 2018
Paquets concernés :
spice-gtk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 906316.
Dans le dictionnaire CVE du Mitre : CVE-2018-10873.
Plus de précisions :

Une vulnérabilité a été découverte dans SPICE avant la version 0.14.1 où le code utilisé pour la désérialisation (demarshalling) de messages manquait de vérification de limites. Un serveur ou client malveillant, après authentification, pourrait envoyer des messages contrefaits pour l'occasion à son pair. Cela pourrait aboutir à un plantage ou, éventuellement, à d’autres impacts.

Le problème a été corrigé par l’amont en abandonnant avec une erreur si le pointeur vers le début de données de message est strictement plus grand que le pointeur vers la fin des données du message.

Le problème ci-dessus et le correctif ont déjà été annoncés pour le paquet spice de Debian (DLA-1486-1 [1]). Cette annonce concerne le paquet « spice-gtk » de Debian (qui intègre une partie du code du paquet spice, où le correctif devait être appliqué).

[1] https://lists.debian.org/debian-lts-announce/2018/08/msg00037.html

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 0.25-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets spice-gtk.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.