セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3099-1 dbus

Debian セキュリティ勧告

DSA-3099-1 dbus -- セキュリティ更新

報告日時:

2014-12-11

影響を受けるパッケージ:

dbus

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-7824.

詳細:

Simon McVittie さんが、CVE-2014-3636 の修正が誤っていたことを発見しています。 根底にあるサービス拒否の手法に対して完全に対処できていませんでした。 この更新では D-Bus デーモンを最初に root で起動させるため、 ファイルデスクリプタのカウントを適切に増加させられるようになります。

さらに、この更新では前のセキュリティ更新での auth_timeout の変更を以前の値に戻しています。 新しい値では一部システムでブートできなくなっていたためです。 悪意のあるローカルユーザに対して D-Bus デーモンを強靱化する方法についての詳細は README.Debian ファイルを見てください。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.6.8-1+deb7u5 で修正されています。

次期安定版 (stable) ディストリビューション (jessie) 及び不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.8.10-1 で修正されています。

直ちに dbus パッケージをアップグレードすることを勧めます。