偵測

openSUSE 安全性更新:dbus-1 / dbus-1-x11 (openSUSE-2015-150)

high Nessus Plugin ID 81397

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

dbus-1、dbus-1-x11 已更新至 1.8.16 版,可修正一個安全性問題。

此更新可修正下列安全性問題:

- CVE-2015-0245:不允許非 uid-0 處理程序傳送偽造的 ActivationFailure 訊息。在具有 systemd 啟用的 Linux 系統上,這可能會允許本機拒絕服務 (bnc#916343)。

納入這些額外的安全性增強功能:

- 不允許從 dbus-daemon 的 uid 以外的 uid 呼叫 UpdateActivationEnvironment。如果系統服務安裝不安全的安全性原則規則,而該規則允許任意方法呼叫 (例如 CVE-2014-8148),則這可以阻止透過 UpdateActivationEnvironment 發生的記憶體消耗和可能的權限提升。

- 不允許呼叫 UpdateActivationEnvironment 或是 /org/freedesktop/DBus 以外的物件路徑之統計介面。部分系統服務會安裝不安全的安全性原則規則,而該規則允許任意方法呼叫具有指定物件路徑的的任何目的地、方法和介面。

解決方案

更新受影響的 dbus-1 / dbus-1-x11 套件。

另請參閱

https://bugzilla.opensuse.org/show_bug.cgi?id=916343

Plugin 詳細資訊

嚴重性: High

ID: 81397

檔案名稱: openSUSE-2015-150.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2015/2/18

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.2

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:dbus-1, p-cpe:/a:novell:opensuse:dbus-1-debuginfo, p-cpe:/a:novell:opensuse:dbus-1-debuginfo-32bit, p-cpe:/a:novell:opensuse:dbus-1-debugsource, p-cpe:/a:novell:opensuse:dbus-1-devel, p-cpe:/a:novell:opensuse:dbus-1-devel-32bit, p-cpe:/a:novell:opensuse:dbus-1-x11, p-cpe:/a:novell:opensuse:dbus-1-x11-debuginfo, p-cpe:/a:novell:opensuse:dbus-1-x11-debugsource, p-cpe:/a:novell:opensuse:libdbus-1-3, p-cpe:/a:novell:opensuse:libdbus-1-3-32bit, p-cpe:/a:novell:opensuse:libdbus-1-3-debuginfo, p-cpe:/a:novell:opensuse:libdbus-1-3-debuginfo-32bit, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2015/2/10

參考資訊

CVE: CVE-2014-8148, CVE-2015-0245