Debians sikkerhedsbulletin
DSA-3613-1 libvirt -- sikkerhedsopdatering
- Rapporteret den:
- 2. jul 2016
- Berørte pakker:
- libvirt
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2016-5008.
- Yderligere oplysninger:
-
Vivian Zhang og Christoph Anton Mitterer opdagede at opsætning af en tom VNC-adgangskode ikke fungerer som dokumenteret i Libvirt, et virtualiserings-abstraktionsbibliotek. Når adgangskoden på en VNC-server er opsat til en tom streng, blev autentificering på VNC-serveren deaktiveret, hvilket gjorde det muligt for enhver bruger at forbide sig, på trods af at dokumentationen erklærer at opsætning af en tom adgangskode til VNC-serveren forhindrer alle klienter i at forbinde sig. Med denne opdatering håndhæves den nævnte virkemåde, ved at sætte adgangskodens udløb til
now
.I den stabile distribution (jessie), er dette problem rettet i version 1.2.9-9+deb8u3.
I den ustabile distribution (sid), er dette problem rettet i version 2.0.0-1.
Vi anbefaler at du opgraderer dine libvirt-pakker.