Информация по безопасности / 2016 / Информация о безопасности -- DSA-3613-1 libvirt

Рекомендация Debian по безопасности

DSA-3613-1 libvirt -- обновление безопасности

Дата сообщения:

02.07.2016

Затронутые пакеты:

libvirt

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-5008.

Более подробная информация:

Вивиан Чжан и Кристоф Антон Миттерер обнаружили, что выбор пустого пароля для VNC работает не так, как описано в документации по Libvirt, библиотеке абстракции над виртуализацией. Если пароль на VNC-сервере выставлен в значение пустой строки, то аутентификация на VNC-сервере будет отключена, что позволяет любому пользователю выполнять подключение, хотя в документации указано, что выбор пустого пароля для VNC-сервера приводит к запрету всех клиентских соединений. В данном обновлении реализуется указанное поведение путём установки истечения срока действия пароля в значение now.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.2.9-9+deb8u3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.0.0-1.

Рекомендуется обновить пакеты libvirt.