Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2971-1 dbus

Debians sikkerhedsbulletin

DSA-2971-1 dbus -- sikkerhedsopdatering

Rapporteret den:

2. jul 2014

Berørte pakker:

dbus

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-3477, CVE-2014-3532, CVE-2014-3533.

Yderligere oplysninger:

Flere sårbarheder er opdaget i dbus, et system til asynkron kommunikation mellem processer. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2014-3477

  Alban Crequy fra Collabora Ltd., opdagede at dbus-daemon sendte en AccessDenied-fejl til servicen i stedet for klienten, når klientens forhindres i at tilgå servicen. En lokal angriber kunne udnytte fejlen til at forårsage, at en bus-aktiveret service, som pt. ikke kører, blev startet og dernæst fejlede, hvilket forhindrede andre brugere i at tilgå servicen.

• CVE-2014-3532

  Alban Crequy fra Collabora Ltd., opdagede en fejl i dbus-daemons understøttelse af fortolkning af fildescriptors. En ondsindet proces kunne tvinge systemservices eller brugerapplikationer til at miste forbindelsen til D-Bus-systemet, ved at sende dem en besked indeholdende en fildescriptor, førende til et lammelsesangreb (denial of service).

• CVE-2014-3533

  Alban Crequy fra Collabora Ltd. og Alejandro Martínez Suárez, opdagede at en ondsindet proces kunne tvinge services til at miste forbindelsen med D-Bus-systemet, ved at forårsage at dbus-daemon forsøgte at videresende ugyldige fildescriptors til en offer-proces, førende til et lammelsesangreb.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.6.8-1+deb7u3.

I den ustabile distribution (sid), er disse problemer rettet i version 1.8.6-1.

Vi anbefaler at du opgraderer dine dbus-pakker.