Debian DSA-4525-1:ibus - 安全性更新

high Nessus Plugin ID 129026

概要

遠端 Debian 主機缺少安全性更新。

說明

Simon McVittie 報告在 ibus (智慧型輸入匯流排) 中存在一個缺陷。由於在 Dbus 的安裝過程中組態錯誤,如果能夠探索圖形環境中連線的另一位使用者使用的 UNIX 通訊端,則任何無權的使用者都能監視方法呼叫並將方法呼叫傳送到另一位使用者的 ibus 匯流排。攻擊者可以利用此缺陷,透過 Dbus 方法呼叫來攔截受害使用者的按鍵或修改與輸入有關的組態。

解決方案

升級 ibus 套件。針對舊的穩定發行版本 (stretch),此問題已在 1.5.14-3+deb9u2 版本中修正。針對穩定的發行版本 (buster),此問題已在 1.5.19-4+deb10u1 版本中修正。

另請參閱

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=940267

https://security-tracker.debian.org/tracker/source-package/ibus

https://packages.debian.org/source/stretch/ibus

https://packages.debian.org/source/buster/ibus

https://www.debian.org/security/2019/dsa-4525

Plugin 詳細資訊

嚴重性: High

ID: 129026

檔案名稱: debian_DSA-4525.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2019/9/19

已更新: 2024/4/24

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.2

CVSS v2

風險因素: Low

基本分數: 3.6

時間分數: 2.7

媒介: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2019-14822

CVSS v3

風險因素: High

基本分數: 7.1

時間分數: 6.2

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:ibus, cpe:/o:debian:debian_linux:10.0, cpe:/o:debian:debian_linux:9.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/9/18

弱點發布日期: 2019/11/25

參考資訊

CVE: CVE-2019-14822

DSA: 4525