Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:N/I:P/A:P)
Производитель ПО
Наименование ПО
dbus-glib
(any)
dbus-glib-devel
(any)
NetworkManager
(any)
NetworkManager-devel
(any)
NetworkManager-glib
(any)
NetworkManager-glib-devel
(any)
NetworkManager-gnome
(any)
Описание
dbus-glib - это дополнительная библиотека, которая позволяет интегрировать стандартную библиотеку D-Bus с моделью GLib. NetworkManager - это сетевой менеджер, который позволяет сохранять активными проводные или беспроводные подключения.
Обнаружено, что dbus-glib не применяет флаг "access" для экспортированных свойств GObject. Если это свойство позволяло чтение и запись данных, но после экспортирования изменилось на "только для чтения", то локальный пользователь может использовать данную уязвимость, чтобы изменить это свойство приложения. Такие изменения могут влиять на поведение приложения (например, если IP-адрес изменен, то сеть не сможет вернуться в обычное состояние после перезагрузки) и, возможно, приведут к отказу в обслуживании. (CVE-2010-1172)
Из-за способа перевода в dbus-glib XML-определений интерфейсов и свойств служб приложений в C-код во время компиляции приложения, приложения, скомпилированные в dbus-glib с использованием свойств, разрешенных только для чтения, необходимо перекомпилировать, чтобы исправить данную ошибку. Поэтому данное обновление содержит пакет NetworkManager, который был перекомпилирован в соответствии с новым пакетом dbus-glib. Другие приложения, поставляемые с Red Hat Enterprise Linux 5, не подвержены данной уязвимости.
Всем пользователям dbus-glib и NetworkManager рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем. Запущенные экземпляры NetworkManager необходимо перезапустить (перезапуск службы NetworkManager), чтобы изменения вступили в силу.
Обнаружено, что dbus-glib не применяет флаг "access" для экспортированных свойств GObject. Если это свойство позволяло чтение и запись данных, но после экспортирования изменилось на "только для чтения", то локальный пользователь может использовать данную уязвимость, чтобы изменить это свойство приложения. Такие изменения могут влиять на поведение приложения (например, если IP-адрес изменен, то сеть не сможет вернуться в обычное состояние после перезагрузки) и, возможно, приведут к отказу в обслуживании. (CVE-2010-1172)
Из-за способа перевода в dbus-glib XML-определений интерфейсов и свойств служб приложений в C-код во время компиляции приложения, приложения, скомпилированные в dbus-glib с использованием свойств, разрешенных только для чтения, необходимо перекомпилировать, чтобы исправить данную ошибку. Поэтому данное обновление содержит пакет NetworkManager, который был перекомпилирован в соответствии с новым пакетом dbus-glib. Другие приложения, поставляемые с Red Hat Enterprise Linux 5, не подвержены данной уязвимости.
Всем пользователям dbus-glib и NetworkManager рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем. Запущенные экземпляры NetworkManager необходимо перезапустить (перезапуск службы NetworkManager), чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0616.html
https://rhn.redhat.com/errata/RHSA-2010-0616.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0616.html
CVE (CVE-2010-1172): https://www.redhat.com/security/data/cve/CVE-2010-1172.html
CVE (CVE-2010-1172): https://www.redhat.com/security/data/cve/CVE-2010-1172.html
BUGZILLA (585394): http://bugzilla.redhat.com/585394
Источник: CVE
Наименование: CVE-2010-1172
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1172
CVE (CVE-2010-1172): https://www.redhat.com/security/data/cve/CVE-2010-1172.html
CVE (CVE-2010-1172): https://www.redhat.com/security/data/cve/CVE-2010-1172.html
BUGZILLA (585394): http://bugzilla.redhat.com/585394
Источник: CVE
Наименование: CVE-2010-1172
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1172