Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3753-1 libvncserver

Debians sikkerhedsbulletin

DSA-3753-1 libvncserver -- sikkerhedsopdatering

Rapporteret den:

5. jan 2017

Berørte pakker:

libvncserver

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 850007, Fejl 850008.
I Mitres CVE-ordbog: CVE-2016-9941, CVE-2016-9942.

Yderligere oplysninger:

Man opdagede at libvncserver, en samling biblioteker som anvendes til at implementere VNC/RFB-klienter og -servere, på ukorrekt vis behandlede indgående netværkspakker. Det medførte flere heapbaserede bufferoverløb, hvilke gjorde det muligt for en ondsindet server, enten at forårsage et lammelsesangreb (DoS) ved at få klienten til at gå ned, eller potentielt at udføre vilkårlig kode på klientsiden.

I den stabile distribution (jessie), er disse problemer rettet i version 0.9.9+dfsg2-6.1+deb8u2.

I distributionen testing (stretch) og i den ustabile distribution (sid), er disse problemer rettet i version 0.9.11+dfsg-1.

Vi anbefaler at du opgraderer dine libvncserver-pakker.