Информация по безопасности / 2017 / Информация о безопасности -- DSA-4003-1 libvirt

Рекомендация Debian по безопасности

DSA-4003-1 libvirt -- обновление безопасности

Дата сообщения:

19.10.2017

Затронутые пакеты:

libvirt

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 878799.
В каталоге Mitre CVE: CVE-2017-1000256.

Более подробная информация:

Дэниел Берранж сообщил, что Libvirt, библиотека абстракции виртуализации, неправильно обрабатывает параметр default_tls_x509_verify (и другие связанные параметры) в qemu.conf при настройке клиентов и серверов TLS в QEMU, что приводит к тому, что у TLS-клиентов на символьных устройствах и дисках отключается проверка, а любые ошибки в ходе проверки сертификата сервера игнорируются.

Дополнительная информация доступна по адресу https://security.libvirt.org/2017/0002.html.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 3.0.0-4+deb9u1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.8.0-3.

Рекомендуется обновить пакеты libvirt.