Debians sikkerhedsbulletin

DSA-3613-1 libvirt -- sikkerhedsopdatering

Rapporteret den:
2. jul 2016
Berørte pakker:
libvirt
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-5008.
Yderligere oplysninger:

Vivian Zhang og Christoph Anton Mitterer opdagede at opsætning af en tom VNC-adgangskode ikke fungerer som dokumenteret i Libvirt, et virtualiserings-abstraktionsbibliotek. Når adgangskoden på en VNC-server er opsat til en tom streng, blev autentificering på VNC-serveren deaktiveret, hvilket gjorde det muligt for enhver bruger at forbide sig, på trods af at dokumentationen erklærer at opsætning af en tom adgangskode til VNC-serveren forhindrer alle klienter i at forbinde sig. Med denne opdatering håndhæves den nævnte virkemåde, ved at sætte adgangskodens udløb til now.

I den stabile distribution (jessie), er dette problem rettet i version 1.2.9-9+deb8u3.

I den ustabile distribution (sid), er dette problem rettet i version 2.0.0-1.

Vi anbefaler at du opgraderer dine libvirt-pakker.