• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3026-1 dbus -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3026-1 dbus -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
dbus (any)
Описание
Олбан Креку и Симон МакВитэ обнаружили несколько уязвимостей в
службе сообщений D-Bus.

CVE-2014-3635
На 64-битных платформах передача файлового дескриптора может использоваться
    локальными пользователями для повреждения содержимого динамической памяти dbus-daemon,
    что приводит к аварийному завершению работы или потенциальному выполнению произвольного кода.
CVE-2014-3636
Отказ в обслуживании в dbus-daemon позволяет локальным
    злоумышленникам предотвратить создание новых соединений с dbus-daemon, либо отсоединить
    существующих клиентов путём использования дескрипторов свыше установленного предела.
CVE-2014-3637
Локальные злоумышленники могут создать соединения D-Bus с
    dbus-daemon, которые не могут быть завершены путём остановки
    участвующих процессов, что приводит к отказу в
    отслуживании.
CVE-2014-3638
dbus-daemon содержит отказ в обслуживании в
    коде, которые отслеживает то, какие сообщения ожидают ответа, что позволяет локальным
    злоумышленникам снизить производительность dbus-daemon.
CVE-2014-3639
dbus-daemon неправильно отклоняет некорректные соединения от
    локальных пользователей, что приводит к отказу в обслуживании.

В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.6.8-1+deb7u4.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.8.8-1.
Рекомендуется обновить пакеты dbus.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
dbus - 1.6.8-1+deb7u4
Ссылки
http://www.debian.org/security/dsa-3026/

Источник: CVE
Наименование: CVE-2014-3638
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3638

Источник: CVE
Наименование: CVE-2014-3639
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3639

Источник: CVE
Наименование: CVE-2014-3636
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3636

Источник: CVE
Наименование: CVE-2014-3637
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3637

Источник: CVE
Наименование: CVE-2014-3635
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3635