Рекомендация Debian по безопасности

DSA-4462-1 dbus -- обновление безопасности

Дата сообщения:
13.06.2019
Затронутые пакеты:
dbus
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 930375.
В каталоге Mitre CVE: CVE-2019-12749.
Более подробная информация:

Джоэ Венникс обнаружил возможность обхода аутентификации в dbus, асинхронной системе межпроцессного взаимодействия. Реализация механизма аутентификации DBUS_COOKIE_SHA1 может быть подвержена атаке через символьные ссылки. Локальный злоумышленник может использовать эту уязвимость для обхода аутентификации и подключения к DBusServer с повышенными правами.

Стандартные системные и сессионные службы dbus с настройками по умолчанию не подвержены данной уязвимости.

Уязвимость была исправлена путём обновления dbus до новой версии из основной ветки разработки, 1.10.28, которая содержит дополнительные исправления.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 1.10.28-0+deb9u1.

Рекомендуется обновить пакеты dbus.

С подробным статусом поддержки безопасности dbus можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/dbus