Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3099-1 dbus

Säkerhetsbulletin från Debian

DSA-3099-1 dbus -- säkerhetsuppdatering

Rapporterat den:

2014-12-11

Berörda paket:

dbus

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-7824.

Ytterligare information:

Simon McVittie upptäckte att rättningen av CVE-2014-3636 var felaktig, eftersom den inte ordentligt adresserar den underliggande överbelastningsvektorn. Denna uppdatering startar D-Bus-daemonen som root från början, så att den kan öka sin filbeskrivarräknare ordentligt.

Utöver detta återställs auth_timeout-förändringen i föregående säkerhetsuppdatering till sitt gamla värde eftersom det nya värdet orsakar bootfel på vissa system. Se filen README.Debian för detaljer om hur du kan härda D-Bus-daemonen mot illasinnade lokala användare.

För den stabila utgåvan (Wheezy), har dessa problem rättats i version 1.6.8-1+deb7u5.

För den kommande stabila utgåvan (Jessie) och den instabila distributionen (Sid), kommer dessa problem att rättas i version 1.8.10-1.

Vi rekommenderar att ni uppgraderar era dbus-paket.