Bulletin d'alerte Debian

DLA-541-1 libvirt -- Mise à jour de sécurité pour LTS

Date du rapport :
1er juillet 2016
Paquets concernés :
libvirt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-5008.
Plus de précisions :

Il y avait un problème de politique de mot de passe dans libvirt, une bibliothèque d'interface avec différents systèmes de virtualisation.

Le réglage d'un mot de passe graphique vide est documenté comme une manière de désactiver l'accès à VNC/SPICE, mais QEMU ne se comporte pas toujours comme cela. VNC pourrait accepter le mot de passe vide. Le comportement est imposé en réglant l'expiration du mot de passe à now.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.9.12.3-1+deb7u2 de libvirt.

Nous vous recommandons de mettre à jour vos paquets libvirt.