Bulletin d'alerte Debian

DSA-4462-1 dbus -- Mise à jour de sécurité

Date du rapport :
13 juin 2019
Paquets concernés :
dbus
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 930375.
Dans le dictionnaire CVE du Mitre : CVE-2019-12749.
Plus de précisions :

Joe Vennix a découvert une vulnérabilité de contournement d'authentification dans dbus, un système asynchrone de communication inter-processus. L'implémentation du mécanisme d'authentification DBUS_COOKIE_SHA1 était vulnérable à une attaque par lien symbolique. Un attaquant local pourrait tirer avantage de ce défaut pour contourner l'authentification et se connecter à un serveur DBus avec des privilèges plus élevés.

Le système et les démons de session de dbus standard, dans leur configuration par défaut, ne sont pas affectés par cette vulnérabilité.

La vulnérabilité est corrigé en mettant dbus à niveau vers la nouvelle version 1.10.28 de l'amont qui comprend des correctifs supplémentaires.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1.10.28-0+deb9u1.

Nous vous recommandons de mettre à jour vos paquets dbus.

Pour disposer d'un état détaillé sur la sécurité de dbus, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/dbus.