libvirt 身份验证绕过漏洞(CVE-2016-5008)

libvirt 身份验证绕过漏洞(CVE-2016-5008)

libvirt 身份验证绕过漏洞(CVE-2016-5008)

发布日期：2016-07-13
更新日期：2016-07-14

受影响系统：

libvirt libvirt < 2.0.0

描述：

---

CVE(CAN) ID: CVE-2016-5008

Libvirt库是一种实现Linux虚拟化功能的Linux API，它支持各种Hypervisor，包括Xen和KVM，以及QEMU和用于其他操作系统的一些虚拟产品。

libvirt 2.0.0之前版本，VNC服务器上的密码设置为空字符串后，未正确禁用密码检查，远程攻击者连接到服务器后，可绕过身份验证，建立VNC会话。

<*来源：Vivian Zhang
  *>

建议：

---

厂商补丁：

libvirt
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://security.libvirt.org/2016/0001.html
https://bugzilla.redhat.com/show_bug.cgi?id=1180092
http://www.debian.org/security/2016/dsa-3613

本文永久更新链接地址：