Рекомендация Debian по безопасности
DSA-4462-1 dbus -- обновление безопасности
- Дата сообщения:
- 13.06.2019
- Затронутые пакеты:
- dbus
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 930375.
В каталоге Mitre CVE: CVE-2019-12749. - Более подробная информация:
-
Джоэ Венникс обнаружил возможность обхода аутентификации в dbus, асинхронной системе межпроцессного взаимодействия. Реализация механизма аутентификации DBUS_COOKIE_SHA1 может быть подвержена атаке через символьные ссылки. Локальный злоумышленник может использовать эту уязвимость для обхода аутентификации и подключения к DBusServer с повышенными правами.
Стандартные системные и сессионные службы dbus с настройками по умолчанию не подвержены данной уязвимости.
Уязвимость была исправлена путём обновления dbus до новой версии из основной ветки разработки, 1.10.28, которая содержит дополнительные исправления.
В стабильном выпуске (stretch) эта проблема была исправлена в версии 1.10.28-0+deb9u1.
Рекомендуется обновить пакеты dbus.
С подробным статусом поддержки безопасности dbus можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/dbus