LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-87-1 dbus

Bulletin d'alerte Debian

DLA-87-1 dbus -- Mise à jour de sécurité pour LTS

Date du rapport :

20 novembre 2014

Paquets concernés :

dbus

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-3477, CVE-2014-3638, CVE-2014-3639.

Plus de précisions :

Cette mise à jour corrige plusieurs dénis de service (locaux) découverts par Alban Crequy et Simon McVittie.

• CVE-2014-3477

  Correction d’un déni de service (échec dans l’obtention du nom de bus) dans les services nouvellement activés dont l’accès n’est pas autorisé à tous les utilisateurs.

• CVE-2014-3638

  Réduction du nombre de réponses en attente par connexion pour éviter un déni de service par complexité algorithmique.

• CVE-2014-3639

  Le démon limite dorénavant le nombre de connexions virtuelles non authentifiées de telle façon que des processus malveillants ne puissent empêcher de nouvelles connexions au bus du système.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1.2.24-4+squeeze3 de dbus.