Debian セキュリティ勧告
DLA-87-1 dbus -- LTS セキュリティ更新
- 報告日時:
- 2014-11-20
- 影響を受けるパッケージ:
- dbus
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2014-3477, CVE-2014-3638, CVE-2014-3639.
- 詳細:
-
この更新では Alban Crequy さんと Simon McVittie さんにより発見された複数の (ローカル) サービス拒否を修正しています。
- CVE-2014-3477
アクセスを許されないユーザがいるシステムサービスを新しく有効化する際のサービス拒否 (バス名取得に失敗) を修正。
- CVE-2014-3638
接続ごとの応答保留最大数を減らし、 アルゴリズム的複雑性攻撃によるサービス拒否を回避。
- CVE-2014-3639
デーモンは認証されていない接続のスロット数を制限するようになったため、 悪意のあるプロセスがシステムバスへの新しい接続を妨害することはできなくなった。
Debian 6
Squeeze
では、この問題は dbus バージョン 1.2.24-4+squeeze3 で修正されています。 - CVE-2014-3477