Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2839-1 spice

Debians sikkerhedsbulletin

DSA-2839-1 spice -- lammelsesangreb

Rapporteret den:

8. jan 2014

Berørte pakker:

spice

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 717030, Fejl 728314.
I Mitres CVE-ordbog: CVE-2013-4130, CVE-2013-4282.

Yderligere oplysninger:

Flere sårbarheder er fundet i spice, et klient- og serverbibiotek til SPICE-protokollen. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2013-4130

  David Gibson fra Red Hat, opdagede at SPICE håndterede visse netværksfejl på ukorrekt vis. En fjernbruger med mulighed for at iværksætte en SPICE-forbindelse til en applikation, fungerende som en SPICE-server, kunne anvende fejlen til at få applikationen til at gå ned.

• CVE-2013-4282

  Tomas Jamrisko fra Red Hat, opdagede at SPICE håndterede visse lange adgangskoder i SPICE-tickets på ukorrekt vis. En fjernbruger med mulighed for at iværksætte en SPICE-forbindelse til en applikation, fungerende som en SPICE-server, kunne anvende fejlen til at få applikationen til at gå ned.

Applikationer, der fungerer som en SPICE-server, skal genstartes for at denne opdatering kan træde i kraft.

I den stabile distribution (wheezy), er disse problemer rettet i version 0.11.0-1+deb7u1.

I distributionen testing (jessie), er disse problemer rettet i version 0.12.4-0nocelt2.

I den ustabile distribution (sid), er disse problemer rettet i version 0.12.4-0nocelt2.

Vi anbefaler at du opgraderer dine spice-pakker.