Bulletin d'alerte Debian

DLA-2524-1 spice-vdagent -- Mise à jour de sécurité pour LTS

Date du rapport :
13 janvier 2021
Paquets concernés :
spice-vdagent
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 883238, Bogue 973769.
Dans le dictionnaire CVE du Mitre : CVE-2017-15108, CVE-2020-25650, CVE-2020-25651, CVE-2020-25652, CVE-2020-25653.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans spice-vdagent, un agent de client spice pour améliorer l’intégration et l’utilisation de SPICE.

  • CVE-2017-15108

    spice-vdagent ne protège pas correctement le répertoire save avant le passage à l’interpréteur. Cela permet à un attaquant local, avec accès à la session dans laquelle l’agent s’exécute, d’injecter des commandes arbitraires à exécuter.

  • CVE-2020-25650

    Un défaut a été découvert dans la façon dont le démon spice-vdagentd gérait le transfert de fichier du système hôte vers la machine virtuelle. N’importe quel utilisateur local client non privilégié avec accès au chemin de socket de domaine UNIX /run/spice-vdagentd/spice-vdagent-sock pourrait utiliser ce défaut pour réaliser un déni de service de mémoire pour spice-vdagentd ou même d’autres processus dans le système de la machine virtuelle. Le plus grand risque de cette vulnérabilité concerne la disponibilité du système. Ce défaut affecte les versions 0.20 et précédentes de spice-vdagent.

  • CVE-2020-25651

    Un défaut a été découvert dans le protocole de transfert de fichier de SPICE. Des données de fichier du système hôte peuvent arriver totalement ou en partie dans la connexion de client d’utilisateur local illégitime dans le système de machine virtuelle. Le transfert en cours d’autres utilisateurs pourrait aussi être interrompu, aboutissant à un déni de service. Le plus grand risque de cette vulnérabilité est la confidentialité des données ainsi que la disponibilité du système.

  • CVE-2020-25652

    Un défaut a été découvert dans le démon spice-vdagentd. Ce dernier ne gérait pas correctement les connexions de client établies à l’aide du socket de domaine UNIX dans /run/spice-vdagentd/spice-vdagent-sock. N’importe quel invité local non privilégié pourrait utiliser ce défaut pour empêcher des agents légitime de se connecter au démon spice-vdagentd, aboutissant à un déni de service. Le plus grand risque de cette vulnérabilité est la disponibilité du système.

  • CVE-2020-25653

    Une vulnérabilité de situation de compétition a été découverte dans la façon dont le démon spice-vdagentd gérait les connexions des nouveaux clients. Ce défaut peut permettre à un utilisateur local client de devenir un agent actif pour spice-vdagentd, aboutissant éventuellement à un déni de service ou à une fuite d'informations de l’hôte. Le plus grand risque de cette vulnérabilité est la confidentialité des données ainsi que la disponibilité du système.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.17.0-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets spice-vdagent.

Pour disposer d'un état détaillé sur la sécurité de spice-vdagent, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/spice-vdagent.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.