Информация по безопасности / 2014 / Информация о безопасности -- DSA-3099-1 dbus

Рекомендация Debian по безопасности

DSA-3099-1 dbus -- обновление безопасности

Дата сообщения:

11.12.2014

Затронутые пакеты:

dbus

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-7824.

Более подробная информация:

Саймон МакВитти обнаружил, что исправление для CVE-2014-3636 было неверным, поскольку оно не полностью решало проблему с отказом в обслуживании. Данное обновление изначально запускает службу D-Bus от лица суперпользователя, и она правильно изменяет число файловых дескрипторов.

Кроме того, данное обновление отменяет изменение параметра auth_timeout, произведённое в предыдущем обновлении безопасности, так как новое значение приводит к возникновению проблем с загрузкой на некоторых системах. Подробности о том, как защитить службу D-Bus от локальных злоумышленников см. в файле README.Debian.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.6.8-1+deb7u5.

В готовящемся стабильном (jessie) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 1.8.10-1.

Рекомендуется обновить пакеты dbus.