Säkerhetsbulletin från Debian

DSA-3753-1 libvncserver -- säkerhetsuppdatering

Rapporterat den:
2017-01-05
Berörda paket:
libvncserver
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 850007, Fel 850008.
I Mitres CVE-förteckning: CVE-2016-9941, CVE-2016-9942.
Ytterligare information:

Man har upptäckt att libvncserver, en samling av bibliotek som används för att implementera VNC/RFB-klienter och -servrar, felaktigt behandlar inkommande nätverkspaket. Detta resulterar i flera heap-baserade buffertspill, som tillåter en illasinnad server att antingen orsaka en överbelastning genom att krascha klienten, eller potentiellt exekvering av godtycklig kod på klientsidan.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 0.9.9+dfsg2-6.1+deb8u2.

För uttestningsutgåvan (Stretch) och den instabila distributionen (Sid) har dessa problem rättats i version 0.9.11+dfsg-1.

Vi rekommenderar att ni uppgraderar era libvncserver-paket.