Säkerhetsbulletin från Debian

DSA-3026-1 dbus -- säkerhetsuppdatering

Rapporterat den:
2014-09-16
Berörda paket:
dbus
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-3635, CVE-2014-3636, CVE-2014-3637, CVE-2014-3638, CVE-2014-3639.
Ytterligare information:

Alban Crequy och Simon McVittie upptäckte flera sårbarheter i meddelandedemonen D-Bus.

  • CVE-2014-3635

    På 64-bitarsplatformar kunde överföring av fildeskriptorer missbrukas av lokala användare till att förorsaka heapkorruption vid dbus-demonen, vilket kan leda till krasch, eller potentiellt körning av godtycklig kod.

  • CVE-2014-3636

    En överbelastningssårbarhet i dbus-daemon tillät lokala angripare att förhindra nya anslutningar till dbus-daemon, eller koppla ifrån existerande klienter, genom att anstränga begränsningar.

  • CVE-2014-3637

    Illasinnade lokala användare kunde skapa D-bus-anslutningar till dbus-daemon som inte kunde termineras genom att döda de deltagande processerna, vilket resulterar i en överbelastningssårbarhet.

  • CVE-2014-3638

    dbus-daemon led av en överbelastningssårbarhet i koden som spårar vilka meddelanden som förväntar ett svar, vilket tillåter lokala användare att reducera prestandan i dbus-daemon.

  • CVE-2014-3639

    dbus-daemon avvisade inte illasinnade anslutningar ordentligt från lokala användare, vilket resulterar i en överbelastningsårbarhet.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.6.8-1+deb7u4.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.8.8-1.

Vi rekommenderar att ni uppgraderar era dbus-paket.