Информация по безопасности / 2014 / Информация о безопасности -- DSA-3026-1 dbus

Рекомендация Debian по безопасности

DSA-3026-1 dbus -- обновление безопасности

Дата сообщения:

16.09.2014

Затронутые пакеты:

dbus

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-3635, CVE-2014-3636, CVE-2014-3637, CVE-2014-3638, CVE-2014-3639.

Более подробная информация:

Олбан Креку и Симон МакВитэ обнаружили несколько уязвимостей в службе сообщений D-Bus.

• CVE-2014-3635

  На 64-битных платформах передача файлового дескриптора может использоваться локальными пользователями для повреждения содержимого динамической памяти dbus-daemon, что приводит к аварийному завершению работы или потенциальному выполнению произвольного кода.

• CVE-2014-3636

  Отказ в обслуживании в dbus-daemon позволяет локальным злоумышленникам предотвратить создание новых соединений с dbus-daemon, либо отсоединить существующих клиентов путём использования дескрипторов свыше установленного предела.

• CVE-2014-3637

  Локальные злоумышленники могут создать соединения D-Bus с dbus-daemon, которые не могут быть завершены путём остановки участвующих процессов, что приводит к отказу в отслуживании.

• CVE-2014-3638

  dbus-daemon содержит отказ в обслуживании в коде, которые отслеживает то, какие сообщения ожидают ответа, что позволяет локальным злоумышленникам снизить производительность dbus-daemon.

• CVE-2014-3639

  dbus-daemon неправильно отклоняет некорректные соединения от локальных пользователей, что приводит к отказу в обслуживании.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.6.8-1+deb7u4.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.8.8-1.

Рекомендуется обновить пакеты dbus.