偵測

FreeBSD:dbus -- 多個弱點 (e6a7636a-02d0-11e4-88b6-080027671656)

low Nessus Plugin ID 76364

語系:

概要

遠端 FreeBSD 主機缺少安全性相關更新。

說明

Simon McVittie 報告:

Collabora Ltd. 的 Alban Crequy 發現,在檔案描述符號傳遞的 dbus-daemon 支援中有一個錯誤。惡意處理程序可傳送內含檔案描述符號的訊息,使該檔案描述符號超過核心的最大遞迴深度 (其本身為修正 DoS 而引入),再讓 dbus-daemon 將訊息轉寄到受害者的處理程序,進而強制系統服務或使用者應用程式從 D-Bus 系統匯流排中斷連線。大部分的服務和應用程式都會在與系統匯流排中斷連線後結束,因此可能導致拒絕服務。

此外,Alban 發現,檔案描述符號與錯誤的訊息相關聯時,若使 dbus-daemon 嘗試轉寄無效的檔案描述符號給受害處理程序,則錯誤 fd.o#79694 可用於發動類似的拒絕服務攻擊 (先前 Alejandro Martínez Suárez 已報告過此錯誤,但其未核可為安全性瑕疵)。

解決方案

更新受影響的套件。

另請參閱

https://lists.freedesktop.org/archives/dbus/2014-July/016235.html

http://www.nessus.org/u?1468253a

Plugin 詳細資訊

嚴重性: Low

ID: 76364

檔案名稱: freebsd_pkg_e6a7636a02d011e488b6080027671656.nasl

版本: 1.8

類型: local

已發布: 2014/7/4

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Low

基本分數: 2.1

媒介: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:dbus, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2014/7/3

弱點發布日期: 2014/7/2

參考資訊

CVE: CVE-2014-3532, CVE-2014-3533