UPDATE: DFN-CERT-2016-1073 libvirt: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][SuSE]

DFN-CERT portal at dfn-cert.de
Wed Jul 20 09:05:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 3 (20.07.2016):
    Für die Distributionen Fedora 23 und 24 stehen die Pakete
    libvirt-1.2.18.4-1.fc23 und libvirt-1.3.3.2-1.fc24 als Sicherheitsupdates
    im Status 'testing' bereit.
  Version 2 (15.07.2016):
    Für openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates für
    libvirt zur Verfügung.
  Version 1 (04.07.2016):
    Neues Advisory

Betroffene Software:

  RedHat libvirt
  

Betroffene Plattformen:

  Debian Linux 8.5 Jessie
  openSUSE 13.2
  openSUSE Leap 42.1
  Red Hat Fedora 23
  Red Hat Fedora 24
  


Ein nicht authentifizierter Angreifer im benachbarten Netzwerk kann
Sicherheitsvorkehrungen umgehen und dadurch unautorisiert Zugang zum
VNC-Server erhalten.

Für die Distribution Debian Jessie (stable) steht ein Sicherheitsupdate
bereit.


Patch:

  Debian Security Advisory DSA-3613-1

  <https://www.debian.org/security/2016/dsa-3613>

Patch:

  openSUSE Security Update openSUSE-SU-2016:1809-1

  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00054.html>

Patch:

  openSUSE Security Update openSUSE-SU-2016:1810-1

  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00055.html>

Patch:

  Fedora Security Update EDORA-2016-65cc608ebe (Fedora 24, libvirt-1.3.3.2-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-65cc608ebe>

Patch:

  Fedora Security Update FEDORA-2016-7b7e16a39e (Fedora 23, libvirt-1.2.18.4)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-7b7e16a39e>


CVE-2016-5008: Schwachstelle in libvirt ermöglicht Umgehen von
  Sicherheitsvorkehrungen

  Die Authentifizierung am VNC-Server mit einer leeren Zeichenkette als
  Passwort führt zur Umgehung des Authentifizierungsmechanismus und nicht zur
  Verhinderung aller Verbindungen zum Server, wie in der Dokumentation
  festgehalten.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1073/>

Schwachstelle CVE-2016-5008 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5008>

Debian Security Advisory DSA-3613-1:
  <https://www.debian.org/security/2016/dsa-3613>

openSUSE Security Update openSUSE-SU-2016:1809-1:
  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00054.html>

openSUSE Security Update openSUSE-SU-2016:1810-1:
  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00055.html>

Fedora Security Update EDORA-2016-65cc608ebe (Fedora 24, libvirt-1.3.3.2-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-65cc608ebe>

Fedora Security Update FEDORA-2016-7b7e16a39e (Fedora 23, libvirt-1.2.18.4):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-7b7e16a39e>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160720/5e29a8d4/attachment.bin>


More information about the Security-Announce mailing list