Debians sikkerhedsbulletin
DSA-3354-1 spice -- sikkerhedsopdatering
- Rapporteret den:
- 8. sep 2015
- Berørte pakker:
- spice
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 797976.
I Mitres CVE-ordbog: CVE-2015-3247. - Yderligere oplysninger:
-
Frediano Ziglio fra Red Hat opdagede en kapløbstilstandsfejl i spices funktion worker_update_monitors_config(), førende til korruption af heaphukommelsen. En ondsindet bruger i en gæst kunne udnytte fejlen til at iværksætte et lammelsesangreb (nedbrud af QEMU-processen) eller potentielt udføre vilkårlig kode på værten, med rettighederne hørende til QEMU's værtsproces.
I den stabile distribution (jessie), er dette problem rettet i version 0.12.5-1+deb8u1.
I den ustabile distribution (sid), er dette problem rettet i version 0.12.5-1.2.
Vi anbefaler at du opgraderer dine spice-pakker.