Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В spice, клиентской и серверной библиотеке поддержки протокола SPICE,
было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2016-9577
Фредиано Зиглио из Red Hat обнаружил переполнение буфера
в функции main_channel_alloc_msg_rcv_buf. Аутентифицированный
злоумышленник может использовать эту уязвимость для вызова
отказа в обслуживании (аварийная остановка сервера spice) или потенциально
выполнить произвольный код.
CVE-2016-9578
Фредиано Зиглио из Red Hat обнаружил, что spice неправильно выполняет
проверку входящих сообщений. Злоумышленник, способный подключиться к
серверу spice, может отправить специально сформированные сообщения, которые
приведут к аварийному завершению серверного процесса.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 0.12.5-1+deb8u4.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 0.12.8-2.1.
Рекомендуется обновить пакеты spice.
было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2016-9577
Фредиано Зиглио из Red Hat обнаружил переполнение буфера
в функции main_channel_alloc_msg_rcv_buf. Аутентифицированный
злоумышленник может использовать эту уязвимость для вызова
отказа в обслуживании (аварийная остановка сервера spice) или потенциально
выполнить произвольный код.
CVE-2016-9578
Фредиано Зиглио из Red Hat обнаружил, что spice неправильно выполняет
проверку входящих сообщений. Злоумышленник, способный подключиться к
серверу spice, может отправить специально сформированные сообщения, которые
приведут к аварийному завершению серверного процесса.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 0.12.5-1+deb8u4.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 0.12.8-2.1.
Рекомендуется обновить пакеты spice.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
spice - 0.12.5-1+deb8u4
Debian GNU/Linux 8:
noarch:
spice - 0.12.5-1+deb8u4
Ссылки
http://www.debian.org/security/dsa-3790/
Источник: CVE
Наименование: CVE-2016-9577
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9577
Источник: CVE
Наименование: CVE-2016-9578
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9578
Источник: CVE
Наименование: CVE-2016-9577
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9577
Источник: CVE
Наименование: CVE-2016-9578
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9578