Информация по безопасности / 2014 / Информация о безопасности -- DSA-2971-1 dbus

Рекомендация Debian по безопасности

DSA-2971-1 dbus -- обновление безопасности

Дата сообщения:

02.07.2014

Затронутые пакеты:

dbus

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-3477, CVE-2014-3532, CVE-2014-3533.

Более подробная информация:

В dbus, асинхронной системе взаимодействия процессов, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2014-3477

  Албан Креки из Collabora Ltd. обнаружил, что dbus-daemon отправляет ошибку AccessDenied службе вместо клиента в случае, когда клиент не имеет прав для доступа к службе. Локальный злоумышленник может использовать данную уязвимость для того, чтобы служба, которая не запущена в данный момент, попыталась запуститься и завершила работу с ошибкой, что приводит к запрету доступа остальных пользователей к службе.

• CVE-2014-3532

  Албан Креки из Collabora Ltd. обнаружил ошибку в поддержке передачи файловых дескрипторов в dbus-daemon. Некорректный процесс может вызвать отключение системных служб или пользовательских приложений от системы D-Bus путём отправки им сообщения, содержащего файлый дескриптор, что приводит к отказу в обслуживании.

• CVE-2014-3533

  Албан Креки из Collabora Ltd. и Алехандро Мартинес Суарес обнаружили, что некорректный процесс может вызвать отключение какого-либо процесса от системы D-Bus путём запроса к causing dbus-daemon по передаче некорректных файловых дескрипторов данному процессу, что приводит к отказу в обслуживании.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.6.8-1+deb7u3.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.8.6-1.

Рекомендуется обновить пакеты dbus.