Bulletin d'alerte Debian

DSA-2971-1 dbus -- Mise à jour de sécurité

Date du rapport :
2 juillet 2014
Paquets concernés :
dbus
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-3477, CVE-2014-3532, CVE-2014-3533.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans dbus, un système simple de messages asynchrones inter-processus. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2014-3477

    Alban Crequy de Collabora Ltd. a découvert que le démon dbus envoyait une erreur AccessDenied au service à la place d'un client quand il est interdit au client d'accéder au service. Un attaquant local pourrait utiliser ce défaut pour faire qu'un service, activé par le bus et qui n'est pas actuellement en cours d'exécution, essaye de démarrer et échoue, empêchant les autres utilisateurs d'accéder à ce service.

  • CVE-2014-3532

    Alban Crequy de Collabora Ltd. a découvert une bogue dans la prise en charge par le démon dbus de la transmission de descripteurs de fichier. Un processus malveillant pourrait contraindre des services du système ou des applications utilisateur à se déconnecter du système D-Bus en leur envoyant un message contenant un descripteur de fichier, menant à un déni de service.

  • CVE-2014-3533

    Alban Crequy de Collabora Ltd. et Alejandro Martínez Suárez ont découvert qu'un processus malveillant pourrait contraindre des services à se déconnecter du système D-Bus en forçant le démon dbus à tenter de transmettre des descripteurs de fichier invalides à un processus victime, menant à un déni de service.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.6.8-1+deb7u3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.8.6-1.

Nous vous recommandons de mettre à jour vos paquets dbus.