Долгосрочная поддержка Debian / Информация о безопасности LTS / 2014 / Информация о безопасности -- DLA-87-1 dbus

Рекомендация Debian по безопасности

DLA-87-1 dbus -- обновление безопасности LTS

Дата сообщения:

20.11.2014

Затронутые пакеты:

dbus

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-3477, CVE-2014-3638, CVE-2014-3639.

Более подробная информация:

Данное обновление исправляет многочисленные (локальные) отказы в обслуживании, обнаруженные Албаном Крешо и Симоном Маквитти.

• CVE-2014-3477

  Исправление отказа в обслуживании (невозможность получить имя шины) во впервые активированных системных службах, к которым имеют доступ не все пользователи.

• CVE-2014-3638

  Уменьшение максимального числа ждущих обработки ответов на одно соединение, чтобы избежать отказа в обслуживании из-за алгоритмической сложности.

• CVE-2014-3639

  Теперь служба ограничивает число слотов неаутентифицированных соединений так, чтобы вредоносные процессы не могли предотвратить новые подключения к системной шине.

В Debian 6 Squeeze эти проблемы были исправлены в пакете dbus версии 1.2.24-4+squeeze3