Debians sikkerhedsbulletin

DSA-4525-1 ibus -- sikkerhedsopdatering

Rapporteret den:
18. sep 2019
Berørte pakker:
ibus
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 940267.
I Mitres CVE-ordbog: CVE-2019-14822.
Yderligere oplysninger:

Simon McVittie rapporterede om en fejl i ibus, Intelligent Input Bus. På grund af en fejlopsætning under opsætningen af DBus'en, kunne enhver upriviligeret bruger overvåge og sende metodekald til ibus-bussen tilhørende en anden bruger, hvis vedkommende var i stand til at finde den UNIX-socket, som blev anvendt en anden bruger forbundet via et grafisk miljø. Angriberen kunne drage nytte af fejlen til at opsnappe offerets tastetryk eller gennem DBUS's metodekald ændre inddata-relaterede opsætninger.

I den gamle stabile distribution (stretch), er dette problem rettet i version 1.5.14-3+deb9u2.

I den stabile distribution (buster), er dette problem rettet i version 1.5.19-4+deb10u1.

Vi anbefaler at du opgraderer dine ibus-pakker.

For detaljeret sikkerhedsstatus vedrørende ibus, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/ibus