Debians sikkerhedsbulletin

DSA-3026-1 dbus -- sikkerhedsopdatering

Rapporteret den:
16. sep 2014
Berørte pakker:
dbus
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-3635, CVE-2014-3636, CVE-2014-3637, CVE-2014-3638, CVE-2014-3639.
Yderligere oplysninger:

Alban Crequy og Simon McVittie opdagede flere sårbarheder i meddelelsesdæmonen D-Bus.

  • CVE-2014-3635

    På 64 bit-platforme kunne overførsel af fildescriptorer blive misbrug af lokale brugere til at forårsage heapkorreuption ved dbus-daemon, førende til et nedbrud eller potentielt udførelse af vilkårlig kode.

  • CVE-2014-3636

    En lammelsesangrebssårbarhed (denial of service) i dbus-daemon gjorde det muligt for lokale angribere at forhindre nye forbindelser til dbus-daemon, eller afbryde eksisterende klienter, ved at udmatte descriptorbegrænsninger.

  • CVE-2014-3637

    Ondsindede lokale brugere kunne oprette D-Bus-forbindelse til dbus-daemon, som ikke kunne termineres ved at dræbe de deltagende processer, medførende en lammelsesangrebssårbarhed.

  • CVE-2014-3638

    dbus-daemon var ramt af en lammelsesangrebssårbarhed i koden, der holder styr på hvilke meddelelser, der forventer et svar, hvilket gjorde det muligt for lokale angribere at formindske dbus-daemons ydeevne.

  • CVE-2014-3639

    dbus-daemon afviste ikke på korrekt vis ondsindede forbindelser fra lokale brugere, medførende en lammelsesangrebssårbarhed.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.6.8-1+deb7u4.

I den ustabile distribution (sid), er disse problemer rettet i version 1.8.8-1.

Vi anbefaler at du opgraderer dine dbus-pakker.