Debians sikkerhedsbulletin

DSA-4003-1 libvirt -- sikkerhedsopdatering

Rapporteret den:
19. okt 2017
Berørte pakker:
libvirt
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 878799.
I Mitres CVE-ordbog: CVE-2017-1000256.
Yderligere oplysninger:

Daniel P. Berrange rapporterede at Libvirt, et abstraktionsbibliotek til virtualisering, ikke på korrekt vis håndterede parametrene default_tls_x509_verify (og relaterede) i qemu.conf, når TLS-klienter og -servere blev opsat i QEMU, førende til at verifikationen var slået i TLS-klienter til tegnenheder og diskenheder, samt at alle fejl blev ignoreret når servercertifikatet blevet valideret.

Der er flere oplysninger i https://security.libvirt.org/2017/0002.html.

I den stabile distribution (stretch), er dette problem rettet i version 3.0.0-4+deb9u1.

I den ustabile distribution (sid), er dette problem rettet i version 3.8.0-3.

Vi anbefaler at du opgraderer dine libvirt-pakker.