Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3371-1 spice

Bulletin d'alerte Debian

DSA-3371-1 spice -- Mise à jour de sécurité

Date du rapport :

9 octobre 2015

Paquets concernés :

spice

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 801089, Bogue 801091.
Dans le dictionnaire CVE du Mitre : CVE-2015-5260, CVE-2015-5261.

Plus de précisions :

Frediano Ziglio de Red Hat a découvert plusieurs vulnérabilités dans spice, une bibliothèque client et serveur pour le protocole SPICE. Un client malveillant peut exploiter ces défauts pour provoquer un déni de service (plantage du processus de QEMU), exécuter du code arbitraire sur l'hôte avec les privilèges du processus hôte de QEMU ou lire et écrire des zones mémoire arbitraires sur l'hôte.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 0.11.0-1+deb7u2.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 0.12.5-1+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.12.5-1.3.

Nous vous recommandons de mettre à jour vos paquets spice.