Debians sikkerhedsbulletin

DSA-3161-1 dbus -- sikkerhedsopdatering

Rapporteret den:
11. feb 2015
Berørte pakker:
dbus
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 777545.
I Mitres CVE-ordbog: CVE-2015-0245.
Yderligere oplysninger:

Simon McVittie opdagede en lokal lammelsesangrebsfejl (denial of service) i dbus, et asynkront interproces-kommunikationssystem. På systemer med serviceaktivering i systemd-stil, forhindrede dbus-daemon ikke forfalskede ActivationFailure-meddelelser fra ikke-root-processer. En ondsindet lokal bruger kunne udnytte fejlen til at narre dbus-daemon til at tro, at det ikke lykkedes systemd at aktivere en systemservice, medførende et fejlsvar tilbage til den anmodende proces.

I den stabile distribution (wheezy), er dette problem rettet i version 1.6.8-1+deb7u6.

I den ustabile distribution (sid), er dette problem rettet i version 1.8.16-1.

Vi anbefaler at du opgraderer dine dbus-pakker.