Рекомендация Debian по безопасности

DSA-3026-1 dbus -- обновление безопасности

Дата сообщения:
16.09.2014
Затронутые пакеты:
dbus
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-3635, CVE-2014-3636, CVE-2014-3637, CVE-2014-3638, CVE-2014-3639.
Более подробная информация:

Олбан Креку и Симон МакВитэ обнаружили несколько уязвимостей в службе сообщений D-Bus.

  • CVE-2014-3635

    На 64-битных платформах передача файлового дескриптора может использоваться локальными пользователями для повреждения содержимого динамической памяти dbus-daemon, что приводит к аварийному завершению работы или потенциальному выполнению произвольного кода.

  • CVE-2014-3636

    Отказ в обслуживании в dbus-daemon позволяет локальным злоумышленникам предотвратить создание новых соединений с dbus-daemon, либо отсоединить существующих клиентов путём использования дескрипторов свыше установленного предела.

  • CVE-2014-3637

    Локальные злоумышленники могут создать соединения D-Bus с dbus-daemon, которые не могут быть завершены путём остановки участвующих процессов, что приводит к отказу в отслуживании.

  • CVE-2014-3638

    dbus-daemon содержит отказ в обслуживании в коде, которые отслеживает то, какие сообщения ожидают ответа, что позволяет локальным злоумышленникам снизить производительность dbus-daemon.

  • CVE-2014-3639

    dbus-daemon неправильно отклоняет некорректные соединения от локальных пользователей, что приводит к отказу в обслуживании.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.6.8-1+deb7u4.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.8.8-1.

Рекомендуется обновить пакеты dbus.