Säkerhetsbulletin från Debian
DSA-2971-1 dbus -- säkerhetsuppdatering
- Rapporterat den:
- 2014-07-02
- Berörda paket:
- dbus
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-3477, CVE-2014-3532, CVE-2014-3533.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i dbus, en asynkront kommunikationssystem mellan processer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2014-3477
Alban Crequy från Collabora Ltd. upptäckte att dbus-daemon skickar ett AccessDenied-fel till tjänsten istället för en klient när klienten är förhindrad att få åtkomst till tjänster. En lokal angripare kan använda denna brist för att orsaka att en buss-aktiverad tjänst som inte körs för närvarande att försöka starta och misslyckas, vilket förhindrar åtkomst åt andra användare av tjänsten.
- CVE-2014-3532
Alban Crequy från Collabora Ltd. upptäckte ett fel i dbus-daemons stöd för skickande av filbeskrivningar. En illasinnad process kunde tvinga systemtjänster eller användarprogram att frånkopplas från D-Bus-systemet genom att skicka ett meddelande till dem som innehåller en filbeskrivare, vilket skulle leda till en överbelastning.
- CVE-2014-3533
Alban Crequy från Collabora Ltd. och Alejandro Martínez Suárez upptäckte att en illasinnad process kunde tvinga tjänster att frånkopplas från D-Bus-systemet genom att orsaka att dbus-daemon försöker vidarebefordra ogiltiga filbeskrivare till en offerprocess, vilket leder till en överbelastning.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.6.8-1+deb7u3.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.8.6-1.
Vi rekommenderar att ni uppgraderar era dbus-paket.
- CVE-2014-3477