BDU:2019-00950
Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра» spice, Astra Linux Special Edition, Ubuntu, Debian GNU/Linux
2019-02-04
Уязвимость функции memslot_get_virt (memslot.c) системы рендеринга удаленного виртуального «рабочего стола» SPICE связана с возможностью чтения за границами допустимого диапазона из-за ошибки off-by-one. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для spice: Обновление программного обеспечения до 0.14.0-1.3 или более поздней версии
Для Astra Linux: Обновление программного обеспечения (пакета spice) до 0.12.5-1+deb8u7 или более поздней версии
Для Debian: Обновление программного обеспечения (пакета spice) до 0.12.5-1+deb8u7 или более поздней версии
Для ОС Astra Linux 1.6 «Смоленск»: обновить пакет spice до 0.12.8-2.1+deb9u3astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186