2017-1203: Simple Protocol for Independent Computing Environments (SPICE): Eine Schwachstelle ermöglicht u.a. die Durchführung eines Denial-of-Service-Angriffs
Historie:
- Version 1 (2017-07-12 13:36)
- Neues Advisory
- Version 2 (2017-07-12 19:52)
- Debian stellt für die alte stabile Distribution Jessie und die stabile Distribution Stretch Sicherheitsupdates bereit. Für Fedora 24 steht ein Sicherheitsupdate in Form des Paketes 'spice-0.12.8-3.fc24' im Status 'pending' zur Verfügung.
- Version 3 (2017-07-13 11:20)
- Für openSUSE Leap 42.2 steht ein Sicherheitsupdate für 'spice' bereit.
- Version 4 (2017-07-20 15:40)
- Canonical stellt für Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für 'spice' bereit.
- Version 5 (2017-08-15 11:35)
- Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten Server, Workstation, Desktop und Linux for Scientific Computing sowie für Compute Node 7.4 Extended Update Support (EUS) und die 7.4 Server Extended Update Support (EUS), Advanced Update Support (AUS) und Telco Update Support (TUS) Sicherheitsupdates für SPICE.
- Version 6 (2017-08-16 12:49)
- Für Oracle Linux 7 (x86_64) stehen aktualisierte 'spice'-Pakete zur Behebung der Schwachstelle als Sicherheitsupdate bereit.
- Version 7 (2017-09-22 18:18)
- SUSE veröffentlicht für die SUSE Linux Enterprise 12 SP3 Produkte Software Development Kit, Server und Desktop Sicherheitsupdates für 'spice'.
- Version 8 (2017-10-02 11:17)
- Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'spice' bereit, um die Schwachstelle zu beheben.
- Version 9 (2018-11-08 13:36)
- Für Red Hat Enterprise Linux 6 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'spice-server' bereit. Das Update steht damit für Red Hat Enterprise Linux Desktop, Server und Workstation 6 sowie für Red Hat Enterprise Linux for Scientific Computing 6 zur Verfügung.
- Version 10 (2018-11-08 18:49)
- Für Oracle Linux 6 (x86_64) steht ein Sicherheitsupdate für 'spice-server' bereit.
Betroffene Software
Systemsoftware
Virtualisierung
Betroffene Plattformen
Netzwerk
Cloud
Linux
Oracle
Beschreibung:
Eine Schwachstelle im Umgang mit dem Server-Protokoll in SPICE ermöglicht es einem entfernten, einfach authentisierten Angreifer durch die Versendung speziell präparierter Nachrichten auf Speicherbereiche des SPICE-Servers zuzugreifen, die außerhalb seiner zugewiesen Grenzen liegen und dadurch Informationen auszuspähen, Daten zu manipulieren und einen Systemabsturz zu provozieren (Denial-of-Service, DoS).
Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4 und 12 SP2, Server 11 SP4, 12 LTSS, 12 for SAP, 12 SP1 LTSS, 12 SP1 for SAP und 12 SP2, Desktop 12 SP2, Debuginfo 11 SP4 sowie für SUSE OpenStack Cloud 6 stehen Sicherheitsupdates für 'spice' bereit.
Schwachstellen:
CVE-2017-7506
Schwachstelle in SPICE ermöglicht u.a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.