DFN-CERT-2014-1226 D-Bus: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Debian]

DFN-CERT-2014-1226 D-Bus: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

FreeDesktop libdbus

Betroffene Plattformen:

Debian Linux 7.6 Wheezy

Durch mehrere Schwachstellen in D-Bus kann ein lokaler, nicht
authentifizierter Angreifer Denial-of-Service-Angriffe durchführen oder
beliebigen Programmcode zur Ausführung bringen.

Patch:

Debian Security Advisory DSA-3026-1

https://www.debian.org/security/2014/dsa-3026

CVE-2014-3639: Schwachstelle in D-Bus ermöglicht Denial-of-Service

Es existiert eine Schwachstelle in dbus-daemon, bei der bösartige
Verbindungen von lokalen Benutzern nicht richtig abgelehnt werden. Ein
lokaler, nicht authentifizierter Angreifer kann Denial-of-Service-Angriffe
durchführen.

CVE-2014-3638: Schwachstelle in D-Bus ermöglicht Denial-of-Service

Es existiert eine nicht näher beschriebene Schwachstelle in dbus-daemon in
der Verfolgung von Nachrichten, die auf Antworten warten. Ein lokaler, nicht
authentifizierter Angreifer kann Denial-of-Service-Angriffe durchführen.

CVE-2014-3637: Schwachstelle in D-Bus ermöglicht Denial-of-Service

Es existiert eine Schwachstelle in D-Bus, bei der die Verbindungen zu
dbus-daemon nicht durch die Beendigung der beteiligten Prozesse beendet
werden können. Ein lokaler, nicht authentifizierter Angreifer kann
Denial-of-Service-Angriffe durchführen.

CVE-2014-3636: Schwachstelle in D-Bus ermöglicht Denial-of-Service

Es existiert eine Schwachstelle in D-Bus, bei der neue oder schon bestehende
Verbindungen zum dbus-daemon getrennt werden können. Ein lokaler, nicht
authentifizierter Angreifer kann, durch das Ausschöpfen der
Descriptor-Grenzen, Denial-of-Service-Angriffe durchführen.

CVE-2014-3635: Schwachstelle in D-Bus ermöglicht das Ausführen beliebigen
Programmcodes

Es existiert eine Schwachstelle in D-Bus auf 64-Bit-Plattformen, bei der die
Weitergabe von Dateideskriptoren den Heap im dbus-daemon beschädigen können.
Ein lokaler, nicht authentifizierter Angreifer kann
Denial-of-Service-Angriffe durchführen oder beliebigen Programmcode zur
Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1226/

Debian Security Advisory DSA-3026-1:
https://www.debian.org/security/2014/dsa-3026

Schwachstelle CVE-2014-3635 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3635

Schwachstelle CVE-2014-3636 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3636

Schwachstelle CVE-2014-3637 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3637

Schwachstelle CVE-2014-3638 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3638

Schwachstelle CVE-2014-3639 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3639

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben