Säkerhetsbulletin från Debian

DSA-3161-1 dbus -- säkerhetsuppdatering

Rapporterat den:
2015-02-11
Berörda paket:
dbus
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 777545.
I Mitres CVE-förteckning: CVE-2015-0245.
Ytterligare information:

Simon McVittie upptäckte en lokal överbelastningsbrist i dbus, ett asynkront kommunikationsssystem mellan processer. På system med tjänstaktivering med systemd-stil, förhindrar inte dbus-daemon förfalskade ActivationFailure-meddelanden från ickerootprocesser. En illasinnad lokal användare kunde använda denna brist för att lura dbus-daemon att tro att systemd misslyckades att aktivera en systemtjänst, vilket resulterar i ett felaktigt svar tillbaks till förfrågaren.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.6.8-1+deb7u6.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.8.16-1.

Vi rekommenderar att ni uppgraderar era dbus-paket.