Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
dbus
(any)
Описание
Олбан Креку и Симон МакВитэ обнаружили несколько уязвимостей в
службе сообщений D-Bus.
CVE-2014-3635
На 64-битных платформах передача файлового дескриптора может использоваться
локальными пользователями для повреждения содержимого динамической памяти dbus-daemon,
что приводит к аварийному завершению работы или потенциальному выполнению произвольного кода.
CVE-2014-3636
Отказ в обслуживании в dbus-daemon позволяет локальным
злоумышленникам предотвратить создание новых соединений с dbus-daemon, либо отсоединить
существующих клиентов путём использования дескрипторов свыше установленного предела.
CVE-2014-3637
Локальные злоумышленники могут создать соединения D-Bus с
dbus-daemon, которые не могут быть завершены путём остановки
участвующих процессов, что приводит к отказу в
отслуживании.
CVE-2014-3638
dbus-daemon содержит отказ в обслуживании в
коде, которые отслеживает то, какие сообщения ожидают ответа, что позволяет локальным
злоумышленникам снизить производительность dbus-daemon.
CVE-2014-3639
dbus-daemon неправильно отклоняет некорректные соединения от
локальных пользователей, что приводит к отказу в обслуживании.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.6.8-1+deb7u4.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.8.8-1.
Рекомендуется обновить пакеты dbus.
службе сообщений D-Bus.
CVE-2014-3635
На 64-битных платформах передача файлового дескриптора может использоваться
локальными пользователями для повреждения содержимого динамической памяти dbus-daemon,
что приводит к аварийному завершению работы или потенциальному выполнению произвольного кода.
CVE-2014-3636
Отказ в обслуживании в dbus-daemon позволяет локальным
злоумышленникам предотвратить создание новых соединений с dbus-daemon, либо отсоединить
существующих клиентов путём использования дескрипторов свыше установленного предела.
CVE-2014-3637
Локальные злоумышленники могут создать соединения D-Bus с
dbus-daemon, которые не могут быть завершены путём остановки
участвующих процессов, что приводит к отказу в
отслуживании.
CVE-2014-3638
dbus-daemon содержит отказ в обслуживании в
коде, которые отслеживает то, какие сообщения ожидают ответа, что позволяет локальным
злоумышленникам снизить производительность dbus-daemon.
CVE-2014-3639
dbus-daemon неправильно отклоняет некорректные соединения от
локальных пользователей, что приводит к отказу в обслуживании.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.6.8-1+deb7u4.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.8.8-1.
Рекомендуется обновить пакеты dbus.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
dbus - 1.6.8-1+deb7u4
Debian GNU/Linux 7:
noarch:
dbus - 1.6.8-1+deb7u4
Ссылки
http://www.debian.org/security/dsa-3026/
Источник: CVE
Наименование: CVE-2014-3638
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3638
Источник: CVE
Наименование: CVE-2014-3639
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3639
Источник: CVE
Наименование: CVE-2014-3636
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3636
Источник: CVE
Наименование: CVE-2014-3637
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3637
Источник: CVE
Наименование: CVE-2014-3635
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3635
Источник: CVE
Наименование: CVE-2014-3638
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3638
Источник: CVE
Наименование: CVE-2014-3639
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3639
Источник: CVE
Наименование: CVE-2014-3636
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3636
Источник: CVE
Наименование: CVE-2014-3637
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3637
Источник: CVE
Наименование: CVE-2014-3635
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3635