Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2971-1 dbus

Säkerhetsbulletin från Debian

DSA-2971-1 dbus -- säkerhetsuppdatering

Rapporterat den:

2014-07-02

Berörda paket:

dbus

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-3477, CVE-2014-3532, CVE-2014-3533.

Ytterligare information:

Flera sårbarheter har upptäckts i dbus, en asynkront kommunikationssystem mellan processer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2014-3477

  Alban Crequy från Collabora Ltd. upptäckte att dbus-daemon skickar ett AccessDenied-fel till tjänsten istället för en klient när klienten är förhindrad att få åtkomst till tjänster. En lokal angripare kan använda denna brist för att orsaka att en buss-aktiverad tjänst som inte körs för närvarande att försöka starta och misslyckas, vilket förhindrar åtkomst åt andra användare av tjänsten.

• CVE-2014-3532

  Alban Crequy från Collabora Ltd. upptäckte ett fel i dbus-daemons stöd för skickande av filbeskrivningar. En illasinnad process kunde tvinga systemtjänster eller användarprogram att frånkopplas från D-Bus-systemet genom att skicka ett meddelande till dem som innehåller en filbeskrivare, vilket skulle leda till en överbelastning.

• CVE-2014-3533

  Alban Crequy från Collabora Ltd. och Alejandro Martínez Suárez upptäckte att en illasinnad process kunde tvinga tjänster att frånkopplas från D-Bus-systemet genom att orsaka att dbus-daemon försöker vidarebefordra ogiltiga filbeskrivare till en offerprocess, vilket leder till en överbelastning.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.6.8-1+deb7u3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.8.6-1.

Vi rekommenderar att ni uppgraderar era dbus-paket.