Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-3099-1 dbus

Debians sikkerhedsbulletin

DSA-3099-1 dbus -- sikkerhedsopdatering

Rapporteret den:

11. dec 2014

Berørte pakker:

dbus

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-7824.

Yderligere oplysninger:

Simon McVittie opdagede at rettelsen af CVE-2014-3636 var forkert, da den ikke fuldt ud løste den underliggende lammelsesangrebsvektor. Denne opdatering begynder med at starte D-Bus-dæmonen som root, så den på korrekt vis kan forøge sin fildeskriptortæller.

Desuden fører denne opdatering ændringen til auth_timeout i den foregående sikkerhedsopdatering, tilbage dens oprindelige værdi, fordi den nye værdi medførte bootfejl på nogle systemer. Se filen README.Debian for oplysninger om hvordan man hærder D-Bus-dæmonen mod ondsindede lokale brugere.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.6.8-1+deb7u5.

I den kommende stabile distribution (jessie) og i den ustabile distribution (sid), er disse problemer rettet i version 1.8.10-1.

Vi anbefaler at du opgraderer dine dbus-pakker.