DFN-CERT-2014-0860 D-Bus: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Debian]

DFN-CERT-2014-0860 D-Bus: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

D-Bus 1.6.8

Betroffene Plattformen:

Debian Linux 7.5 Wheezy

Ein nicht authentisierter Angreifer, lokal oder aus dem benachbarten
Netzwerk, kann diese Schwachstellen ausnutzen, um Denial-of-Service-Angriffe
durchzuführen.

Patch:

Debian Security Advisory DSA-2971-1

https://www.debian.org/security/2014/dsa-2971

CVE-2014-3533: Schwachstelle im dbus-daemon erlaubt Denial-of-Service

Ein schädlicher Prozess kann, indem er den dbus-daemon versuchen lässt,
ungültige Dateibezeichner an einen Opferprozess zu senden, das Trennen von
Diensten vom D-Bus System verursachen. Ein nicht authentisierter Angreifer
kann diese Schwachstelle ausnutzen, indem er einen schädlichen Prozess
startet, um einen Denial-of-Service-Angriff durchzuführen.

CVE-2014-3532: Schwachstelle im dbus-daemon erlaubt Denial-of-Service

Eine Schwachstelle besteht im dbus-daemon beim Weitergeben von
Dateibezeichnern. Ein nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, indem er schädliche Nachrichten sendet, die einen
Dateibezeichner beinhalten, um Systemdienste oder Applikationen von
Benutzern von dem D-Bus System abzukoppeln, d.h. einen
Denial-of-Service-Zustand herbeizuführen.

CVE-2014-3477: DoS-Schwachstelle im dbus-daemon

In der Kommunikation zwischen Client und Service, die vom dbus-daemon
vermittelt wird, kann es aufgrund der implementierten Datenflussrichtung zu
einem Denial-of-Service-Zustand kommen. In “untrusted” Umgebungen, in denen
Client und Service nicht kommunizieren sollen, kann der Informationsfluss
vom Service genutzt werden, um Informationen über den Client zu erhalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0860/

Schwachstelle CVE-2014-3477 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3477

Debian Security Advisory DSA-2971-1:
https://www.debian.org/security/2014/dsa-2971

Schwachstelle CVE-2014-3532 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3532

Schwachstelle CVE-2014-3533 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3533

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben