Рекомендация Debian по безопасности
DSA-3026-1 dbus -- обновление безопасности
- Дата сообщения:
- 16.09.2014
- Затронутые пакеты:
- dbus
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-3635, CVE-2014-3636, CVE-2014-3637, CVE-2014-3638, CVE-2014-3639.
- Более подробная информация:
-
Олбан Креку и Симон МакВитэ обнаружили несколько уязвимостей в службе сообщений D-Bus.
- CVE-2014-3635
На 64-битных платформах передача файлового дескриптора может использоваться локальными пользователями для повреждения содержимого динамической памяти dbus-daemon, что приводит к аварийному завершению работы или потенциальному выполнению произвольного кода.
- CVE-2014-3636
Отказ в обслуживании в dbus-daemon позволяет локальным злоумышленникам предотвратить создание новых соединений с dbus-daemon, либо отсоединить существующих клиентов путём использования дескрипторов свыше установленного предела.
- CVE-2014-3637
Локальные злоумышленники могут создать соединения D-Bus с dbus-daemon, которые не могут быть завершены путём остановки участвующих процессов, что приводит к отказу в отслуживании.
- CVE-2014-3638
dbus-daemon содержит отказ в обслуживании в коде, которые отслеживает то, какие сообщения ожидают ответа, что позволяет локальным злоумышленникам снизить производительность dbus-daemon.
- CVE-2014-3639
dbus-daemon неправильно отклоняет некорректные соединения от локальных пользователей, что приводит к отказу в обслуживании.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.6.8-1+deb7u4.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.8.8-1.
Рекомендуется обновить пакеты dbus.
- CVE-2014-3635