Säkerhetsbulletin från Debian

DSA-4462-1 dbus -- säkerhetsuppdatering

Rapporterat den:
2019-06-13
Berörda paket:
dbus
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 930375.
I Mitres CVE-förteckning: CVE-2019-12749.
Ytterligare information:

Joe Vennix upptäckte en sårbarhet för autentiseringsförbigång i dbus, ett asynkront kommunikationssystem mellan processer. Implementationen av autentiseringsmekanismen DBUS_COOKIE_SHA1 var sårbar för ett angrepp med symboliska länkar. En lokal angripare kunde dra fördel av denna brist för att förbigå autentisering och ansluta till en DBusServer med utökade rättigheter.

Standardsystem och session-dbus-demonerna påverkas inte av denna sårbarhet i deras standardkonfiguration.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.10.28-0+deb9u1.

Vi rekommenderar att ni uppgraderar era dbus-paket.

För detaljerad säkerhetsstatus om dbus vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/dbus