Debian セキュリティ勧告

DSA-2971-1 dbus -- セキュリティ更新

報告日時:
2014-07-02
影響を受けるパッケージ:
dbus
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-3477, CVE-2014-3532, CVE-2014-3533.
詳細:

複数の欠陥が dbus、非同期プロセス間通信システムに発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2014-3477

    Collabora Ltd. の Alban Crequy さんが、dbus-daemon がそのクライアントからサービスへのアクセスが禁止されている場合にクライアントではなくサービスに AccessDenied エラーを送っていることを発見しています。 ローカルの攻撃者がこの欠陥を悪用してバスを活用する、 現在動作していないサービス起動を試行して失敗させることで、 このサービスへの他のユーザのアクセス拒否を引き起こすことが可能です。

  • CVE-2014-3532

    Collabora Ltd. の Alban Crequy さんが dbus-daemon のファイルデスクリプタ受渡しのサポートにバグを発見しています。 悪意のあるプロセスがシステムサービスやユーザアプリケーションに ファイルデスクリプタを収録するメッセージを送ることで、D-Bus システムから強制的に切断することが可能で、サービス拒否につながります。

  • CVE-2014-3533

    Collabora Ltd. の Alban Crequy さんと Alejandro Martínez Suárez さんが、悪意のあるプロセスが dbus-daemon に攻撃対象者のプロセスに対して不正なファイルデスクリプタの転送を試行させることによりサービスを D-Bus システムから強制的に切断できることを発見しています。 サービス拒否につながります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.6.8-1+deb7u3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.8.6-1 で修正されています。

直ちに dbus パッケージをアップグレードすることを勧めます。