Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3099-1 dbus

Bulletin d'alerte Debian

DSA-3099-1 dbus -- Mise à jour de sécurité

Date du rapport :

11 décembre 2014

Paquets concernés :

dbus

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-7824.

Plus de précisions :

Simon McVittie a découvert que la correction pour CVE-2014-3636 était incorrecte, dans la mesure où elle ne traitait pas complètement le vecteur du déni de service sous-jacent. Cette mise à jour lance initialement le démon D-Bus en tant que superutilisateur de sorte que le nombre de descripteurs de fichier puisse être correctement accru.

De plus, cette mise à jour annule la modification d'auth_timeout de la mise à jour de sécurité précédente et revient à son ancienne valeur parce que la nouvelle provoque des échecs d'amorçage sur certains systèmes. Veuillez lire le fichier README.Debian pour des détails sur la manière de sécuriser le démon D-Bus à l'encontre d'utilisateurs locaux malveillants.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.6.8-1+deb7u5.

Pour la distribution stable à venir (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.8.10-1.

Nous vous recommandons de mettre à jour vos paquets dbus.