Säkerhetsbulletin från Debian
DSA-3613-1 libvirt -- säkerhetsuppdatering
- Rapporterat den:
- 2016-07-02
- Berörda paket:
- libvirt
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-5008.
- Ytterligare information:
-
Vivian Zhang och Christoph Anton Mitterer upptäckte att om man sätter ett tomt VNC-lösenord så fungerar det inte som dokumenterat i Libvirt, ett virtualiseringsabstraktionsbibliotek. När lösenordet på en VNC-server inaktiveras, kommer autentisering på VNC-servern att inaktiveras, vilket tillåter alla användare att ansluta, trots dokumentationen som säger att om sätter ett tomt lösenord för VNC-servern så förhindras alla klientanslutningar. Med denna uppdatering så påtvingas beteendet genom att sätta utgångstiden för lösenordet till
nu
.För den stabila utgåvan (Jessie) har detta problem rättats i version 1.2.9-9+deb8u3.
För den instabila utgåvan (Sid) har detta problem rättats i version 2.0.0-1.
Vi rekommenderar att ni uppgraderar era libvirt-paket.