Aviso de seguridad de Debian
DSA-4003-1 libvirt -- actualización de seguridad
- Fecha del informe:
- 19 de oct de 2017
- Paquetes afectados:
- libvirt
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 878799.
En el diccionario CVE de Mitre: CVE-2017-1000256. - Información adicional:
-
Daniel P. Berrange informó de que Libvirt, una biblioteca de abstracción de virtualización, no gestiona correctamente el parámetro default_tls_x509_verify (y relacionados) de qemu.conf al configurar clientes y servidores TLS en QEMU, dando como resultado que los clientes TLS de dispositivos de tipo carácter y de dispositivos de disco tienen desactivada la verificación e ignoran cualquier error en la validación del certificado del servidor.
Más información en https://security.libvirt.org/2017/0002.html.
Para la distribución «estable» (stretch), este problema se ha corregido en la versión 3.0.0-4+deb9u1.
Para la distribución «inestable» (sid), este problema se ha corregido en la versión 3.8.0-3.
Le recomendamos que actualice los paquetes de libvirt.