Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4319-1 spice

Aviso de seguridad de Debian

DSA-4319-1 spice -- actualización de seguridad

Fecha del informe:

15 de oct de 2018

Paquetes afectados:

spice

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 906315.
En el diccionario CVE de Mitre: CVE-2018-10873.

Información adicional:

Frediano Ziglio informó de que falta una comprobación en el script para generar código para reconstrucción de datos serializados («demarshalling code») en la biblioteca de cliente y de servidor del protocolo SPICE. El código para reconstrucción de datos serializados es propenso a múltiples desbordamientos de memoria. Un atacante autenticado puede aprovechar este defecto para provocar denegación de servicio (caída del servidor spice) o, posiblemente, para ejecutar código arbitrario.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 0.12.8-2.1+deb9u2.

Le recomendamos que actualice los paquetes de spice.

Para información detallada sobre el estado de seguridad de spice consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/spice