Рекомендация Debian по безопасности

DSA-3613-1 libvirt -- обновление безопасности

Дата сообщения:
02.07.2016
Затронутые пакеты:
libvirt
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-5008.
Более подробная информация:

Вивиан Чжан и Кристоф Антон Миттерер обнаружили, что выбор пустого пароля для VNC работает не так, как описано в документации по Libvirt, библиотеке абстракции над виртуализацией. Если пароль на VNC-сервере выставлен в значение пустой строки, то аутентификация на VNC-сервере будет отключена, что позволяет любому пользователю выполнять подключение, хотя в документации указано, что выбор пустого пароля для VNC-сервера приводит к запрету всех клиентских соединений. В данном обновлении реализуется указанное поведение путём установки истечения срока действия пароля в значение now.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.2.9-9+deb8u3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.0.0-1.

Рекомендуется обновить пакеты libvirt.