Bundesamt für Sicherheit in der Informationstechnik

CB-K17/0209 Update 4

Risikostufe 3

Titel:SPICE: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen ProgrammcodesDatum:17.02.2017Software:Simple Protocol for Independent Computing Environments (SPICE)Plattform:SUSE Linux Enterprise Debuginfo 11 SP4, SUSE Linux Enterprise Software Development Kit 11 SP4, SUSE Linux Enterprise Software Development Kit 12 SP1, SUSE Linux Enterprise Software Development Kit 12 SP2, Debian Linux 8.7 Jessie, openSUSE Leap 42.1, openSUSE Leap 42.2, SUSE Linux Enterprise Desktop 12 SP1, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Server 11 SP4, SUSE Linux Enterprise Server 12 LTSS, SUSE Linux Enterprise Server for SAP 12, SUSE Linux Enterprise Server 12 SP1, SUSE Linux Enterprise Server 12 SP2, Oracle Linux 6, Oracle Linux 7, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux HPC Node 6, Red Hat Enterprise Linux HPC Node 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server 7.3 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 24, Red Hat Fedora 25Auswirkung:Ausführen beliebigen ProgrammcodesRemoteangriff:JaRisiko:mittelCVE Liste:CVE-2016-9577, CVE-2016-9578Bezug: Red Hat Security Advisory RHSA-2017:0253

Beschreibung

'Simple Protocol for Independent Computing Environments' kurz SPICE ist ein ursprünglich von Qumranet entwickeltes Protokoll zur Anzeige von virtuellen Desktopumgebungen. Die Firma wurde von Red Hat aufgekauft und das Protokoll 2009 als Open-Source freigegeben.

Ein entfernter, einfach authentisierter Angreifer kann eine Schwachstelle ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder möglicherweise beliebigen Programmcode zur Ausführung zu bringen. Ein entfernter, nicht authentisierter Angreifer kann eine weitere Schwachstelle ausnutzen, um ebenfalls einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Red Hat Enterprise Linux 6 und 7 Produktvarianten Desktop, HPC Node, Server, Workstation und für Red Hat Enterprise Linux Server TUS 7.3 sowie für Oracle Linux 6 (x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit.