Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3026-1 dbus

Bulletin d'alerte Debian

DSA-3026-1 dbus -- Mise à jour de sécurité

Date du rapport :

16 septembre 2014

Paquets concernés :

dbus

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-3635, CVE-2014-3636, CVE-2014-3637, CVE-2014-3638, CVE-2014-3639.

Plus de précisions :

Alban Crequy et Simon McVittie ont découvert plusieurs vulnérabilités dans le démon de message D-Bus.

• CVE-2014-3635

  Sur les plates-formes 64 bits, le passage d'un descripteur de fichier pourrait être abusé par des utilisateurs locaux pour provoquer une corruption du tas dans dbus-daemon, menant à un plantage, ou éventuellement à l'exécution de code arbitraire.

• CVE-2014-3636

  Une vulnérabilité de déni de service dans dbus-daemon permettait à des attaquants locaux d'empêcher les nouvelles connexions à dbus-daemon ou de déconnecter les clients existants en épuisant les limites du descripteur.

• CVE-2014-3637

  Des utilisateurs locaux malveillants pourraient créer des connexions D-Bus vers dbus-daemon qui ne pourraient être interrompues en tuant les processus participants, résultant en une vulnérabilité de déni de service.

• CVE-2014-3638

  dbus-daemon souffrait d'une vulnérabilité de déni de service vulnérabilité dans le code suivant les messages qui attendent une réponse, ce qui permettait à des attaquants locaux de réduire les performances de dbus-daemon.

• CVE-2014-3639

  dbus-daemon ne rejetait pas correctement les connexions malveillantes des utilisateurs locaux, résultant en une vulnérabilité de déni de service.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.6.8-1+deb7u4.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.8.8-1.

Nous vous recommandons de mettre à jour vos paquets dbus.