SuSE 11.3 安全性更新 : dbus-1 (SAT 修補程式編號 9733)

low Nessus Plugin ID 77755

語系：

概要

遠端 SuSE 11 主機缺少一個或多個安全性更新。

說明

已在 DBUS 服務中修正多種拒絕服務問題。

- dbus-daemon 可追蹤方法呼叫訊息是否會預期收到回覆，以便可以捨棄未經批准的回覆。如目前所實作，如果正在進行 n 個平行方法呼叫，每個方法回覆會占用 O(n) CPU 時間。惡意使用者可惡意利用此問題，透過開啟最大允許數量的平行連線，並針對每一個此類連線傳送最大數量的平行方法呼叫，來造成後續方法呼叫慢到不合理的程度，即拒絕服務。(CVE-2014-3638)

- dbus-daemon 允許少量尚未確認其身分的「不完整」連線 (預設為 64 個)。若已達到此限制，會捨棄後續連線。Alban 的測試指出，一個惡意處理程序重複嘗試連線，但從未完成驗證交握，而是等待 dbus-daemon 逾時並予以中斷連線，其可造成大部分的合法連線嘗試失敗。
(CVE-2014-3639)

解決方案

套用 SAT 修補程式編號 9733。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=896453

http://support.novell.com/security/cve/CVE-2014-3638.html

http://support.novell.com/security/cve/CVE-2014-3639.html

Plugin 詳細資訊

嚴重性: Low

ID: 77755

檔案名稱: suse_11_dbus-1-140916.nasl

版本: 1.4

類型: local

代理程式: unix

系列: SuSE Local Security Checks

已發布: 2014/9/19

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Low

基本分數: 2.1

媒介: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:P

弱點資訊

CPE: cpe:/o:novell:suse_linux:11, p-cpe:/a:novell:suse_linux:11:dbus-1, p-cpe:/a:novell:suse_linux:11:dbus-1-32bit, p-cpe:/a:novell:suse_linux:11:dbus-1-x11

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2014/9/16

參考資訊

CVE: CVE-2014-3638, CVE-2014-3639