Bulletin d'alerte Debian

DSA-4525-1 ibus -- Mise à jour de sécurité

Date du rapport :
18 septembre 2019
Paquets concernés :
ibus
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 940267.
Dans le dictionnaire CVE du Mitre : CVE-2019-14822.
Plus de précisions :

Simon McVittie a signalé un défaut dans ibus, le bus d'entrée intelligent (« Intelligent Input Bus »). Du fait d'une mauvaise configuration durant l'installation de DBus, n'importe quel utilisateur non privilégié pourrait surveiller et envoyer des appels de méthode au bus ibus d'un autre utilisateur, s'il peut découvrir la socket UNIX utilisée par l'autre utilisateur connecté dans un environnement graphique. L'attaquant peut profiter de ce défaut pour intercepter les frappes de l'utilisateur victime ou pour modifier des configurations relatives aux entrées grâce à des appels de méthode de DBus.

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 1.5.14-3+deb9u2.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1.5.19-4+deb10u1.

Nous vous recommandons de mettre à jour vos paquets ibus.

Pour disposer d'un état détaillé sur la sécurité de ibus, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ibus.