Säkerhetsbulletin från Debian

DSA-3613-1 libvirt -- säkerhetsuppdatering

Rapporterat den:
2016-07-02
Berörda paket:
libvirt
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-5008.
Ytterligare information:

Vivian Zhang och Christoph Anton Mitterer upptäckte att om man sätter ett tomt VNC-lösenord så fungerar det inte som dokumenterat i Libvirt, ett virtualiseringsabstraktionsbibliotek. När lösenordet på en VNC-server inaktiveras, kommer autentisering på VNC-servern att inaktiveras, vilket tillåter alla användare att ansluta, trots dokumentationen som säger att om sätter ett tomt lösenord för VNC-servern så förhindras alla klientanslutningar. Med denna uppdatering så påtvingas beteendet genom att sätta utgångstiden för lösenordet till nu.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.2.9-9+deb8u3.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.0.0-1.

Vi rekommenderar att ni uppgraderar era libvirt-paket.