セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3026-1 dbus

Debian セキュリティ勧告

DSA-3026-1 dbus -- セキュリティ更新

報告日時:

2014-09-16

影響を受けるパッケージ:

dbus

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-3635, CVE-2014-3636, CVE-2014-3637, CVE-2014-3638, CVE-2014-3639.

詳細:

Alban Crequy さんと Simon McVittie さんが D-Bus メッセージデーモンに複数の脆弱性を発見しています。

• CVE-2014-3635

  64ビットのプラットフォームで、 ローカルユーザによりファイルデスクリプタの受け渡しを悪用し、dbus-daemo でヒープ破損を引き起こすことが可能です。 クラッシュや潜在的には任意のコードの実行につながります。

• CVE-2014-3636

  サービス拒否脆弱性が dbus-daemon にあり、デスクリプタを限度まで使い果たすことによる dbus-daemon への新しい接続の妨害や接続済みクライアントの切断をローカルの攻撃者に許します。

• CVE-2014-3637

  悪意のあるローカルユーザが、当該プロセスを終了させても切断できない dbus-daemon への D-Bus 接続を作成することが可能で、サービス拒否脆弱性につながります。

• CVE-2014-3638

  dbus-daemon は応答を要求するメッセージを追跡する コードにあるサービス拒否脆弱性の影響を受けます。 ローカルの攻撃者に dbus-daemon の性能低下を許します。

• CVE-2014-3639

  dbus-daemon はローカルユーザからの悪意のある接続を適切に拒否していません。 サービス拒否脆弱性につながります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.6.8-1+deb7u4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.8.8-1 で修正されています。

直ちに dbus パッケージをアップグレードすることを勧めます。