Säkerhetsbulletin från Debian

DSA-2971-1 dbus -- säkerhetsuppdatering

Rapporterat den:
2014-07-02
Berörda paket:
dbus
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-3477, CVE-2014-3532, CVE-2014-3533.
Ytterligare information:

Flera sårbarheter har upptäckts i dbus, en asynkront kommunikationssystem mellan processer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2014-3477

    Alban Crequy från Collabora Ltd. upptäckte att dbus-daemon skickar ett AccessDenied-fel till tjänsten istället för en klient när klienten är förhindrad att få åtkomst till tjänster. En lokal angripare kan använda denna brist för att orsaka att en buss-aktiverad tjänst som inte körs för närvarande att försöka starta och misslyckas, vilket förhindrar åtkomst åt andra användare av tjänsten.

  • CVE-2014-3532

    Alban Crequy från Collabora Ltd. upptäckte ett fel i dbus-daemons stöd för skickande av filbeskrivningar. En illasinnad process kunde tvinga systemtjänster eller användarprogram att frånkopplas från D-Bus-systemet genom att skicka ett meddelande till dom som innehler en filbeskrivare, vilket skulle leda till en överbelastning.

  • CVE-2014-3533

    Alban Crequy från Collabora Ltd. och Alejandro Martínez Suárez upptäckte att en illasinnad process kunde tvinga tjänster att frånkopplas från D-Bus-systemet genom att orsaka att dbus-daemon försöker vidarebefordra ogiltiga filbeskrivare till en offerprocess, vilket leder till en överbelastning.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.6.8-1+deb7u3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.8.6-1.

Vi rekommenderar att ni uppgraderar era dbus-paket.