Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3371-1 spice

Säkerhetsbulletin från Debian

DSA-3371-1 spice -- säkerhetsuppdatering

Rapporterat den:

2015-10-09

Berörda paket:

spice

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 801089, Fel 801091.
I Mitres CVE-förteckning: CVE-2015-5260, CVE-2015-5261.

Ytterligare information:

Frediano Ziglio från Red Hat upptäckte flera sårbarheter i spice, ett klient- och serverbibliotek för SPICE-protokollet. En illasinnad gäst kan exploatera dessa brister för att orsaka en överbelastning (krasch av QEMU-processen), köra godtycklig kod på värden med samma rättigheter som värdens QEMU-process eller läsa och skriva godtyckliga minnesplatser på värden.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 0.11.0-1+deb7u2.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 0.12.5-1+deb8u2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.12.5-1.3.

Vi rekommenderar att ni uppgraderar era spice-paket.