Рекомендация Debian по безопасности
DSA-3613-1 libvirt -- обновление безопасности
- Дата сообщения:
- 02.07.2016
- Затронутые пакеты:
- libvirt
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2016-5008.
- Более подробная информация:
-
Вивиан Чжан и Кристоф Антон Миттерер обнаружили, что выбор пустого пароля для VNC работает не так, как описано в документации по Libvirt, библиотеке абстракции над виртуализацией. Если пароль на VNC-сервере выставлен в значение пустой строки, то аутентификация на VNC-сервере будет отключена, что позволяет любому пользователю выполнять подключение, хотя в документации указано, что выбор пустого пароля для VNC-сервера приводит к запрету всех клиентских соединений. В данном обновлении реализуется указанное поведение путём установки истечения срока действия пароля в значение
now
.В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.2.9-9+deb8u3.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.0.0-1.
Рекомендуется обновить пакеты libvirt.