Información sobre seguridad / 2017 / Información sobre seguridad -- DSA-4003-1 libvirt

Aviso de seguridad de Debian

DSA-4003-1 libvirt -- actualización de seguridad

Fecha del informe:

19 de oct de 2017

Paquetes afectados:

libvirt

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 878799.
En el diccionario CVE de Mitre: CVE-2017-1000256.

Información adicional:

Daniel P. Berrange informó de que Libvirt, una biblioteca de abstracción de virtualización, no gestiona correctamente el parámetro default_tls_x509_verify (y relacionados) de qemu.conf al configurar clientes y servidores TLS en QEMU, dando como resultado que los clientes TLS de dispositivos de tipo carácter y de dispositivos de disco tienen desactivada la verificación e ignoran cualquier error en la validación del certificado del servidor.

Más información en https://security.libvirt.org/2017/0002.html.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 3.0.0-4+deb9u1.

Para la distribución «inestable» (sid), este problema se ha corregido en la versión 3.8.0-3.

Le recomendamos que actualice los paquetes de libvirt.