Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2839-1 spice

Säkerhetsbulletin från Debian

DSA-2839-1 spice -- överbelastning

Rapporterat den:

2014-01-08

Berörda paket:

spice

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 717030, Fel 728314.
I Mitres CVE-förteckning: CVE-2013-4130, CVE-2013-4282.

Ytterligare information:

Flera sårbarheter har upptäckts i spice, ett klient- och serverbibliotek för SPICE-protokollet. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2013-4130

  David Gibson från Red Hat upptäckte att SPICE felaktigt hanterar vissa nätverksfel. En fjärrangripare som kan initiera en SPICE-anslutning till en applikation som agerar som en SPICE-server kunde använda denna sårbarhet för att krascha applikationen.

• CVE-2013-4282

  Tomas Jamrisko från Red Hat upptäckte att SPICE felaktigt hanterade långa lösenord i SPICE-kvitton. En fjärrangripare med möjlighet att initiera en SPICE-anslutning till en applikation som agerar som en SPICE-server kunde använda denna brist för att krascha applikationen.

Applikationer som agerar som en SPICE-server måste startas om för att denna uppdatering skall ha någon effekt.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 0.11.0-1+deb7u1.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 0.12.4-0nocelt2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.12.4-0nocelt2.

Vi rekommenderar att ni uppgraderar era spice-paket.