Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2149-1 dbus

Bulletin d'alerte Debian

DSA-2149-1 dbus -- Déni de service

Date du rapport :

20 janvier 2011

Paquets concernés :

dbus

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2010-4352.

Plus de précisions :

Rémi Denis-Courmont a découvert que D-bus, une application de bus message, ne limite pas correctement le niveau d'imbrication lors de l'examen de messages avec des variantes imbriquées extensives. Cela permet à un attaquant de planter le démon système dbus à cause d'un débordement de pile d'appel à l'aide d'un message contrefait.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.2.1-5+lenny2.

Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ce problème a été corrigé dans la version 1.2.24-4.

Nous vous recommandons de mettre à jour vos paquets dbus.