検出

FreeBSD:dbus -- 複数の脆弱性(e6a7636a-02d0-11e4-88b6-080027671656)

low Nessus プラグイン ID 76364

Language:

概要

リモート FreeBSD ホストには、セキュリティ関連の更新がありません。

説明

Simon McVittie による報告:

Collabora Ltd. の Alban Crequy 氏はファイル記述子通過に対する dbus-daemon のサポートにバグを発見しました。悪意のあるプロセスが、ファイル記述子を含むメッセージを送信することで、システムサービスまたはユーザーアプリケーションが D-Bus システムバスから切断されるように強制する可能性があります。それから、dbus-daemon がメッセージを被害者のプロセスに転送する前にそのファイル記述子にカーネルの最大再帰深度(それ自体が DoS を修正されるために導入されています)を超過させます。システムバスから切断されたとき、ほとんどのサービスおよびアプリケーションが終了し、サービス拒否が発生する可能性があります。

さらに、Alban は、バグ fd.o#79694 を発見しました。これは、Alejandro Martínez Suárez 氏が以前報告していたバグであり、セキュリティ欠陥であると信じられていましたが、ファイル記述子が間違ったメッセージと関連付けられた際に、dbus-daemon に被害者のプロセスへと無効なファイル記述子を転送するよう試みさせることで、同様のサービス拒否のために使用される可能性があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://lists.freedesktop.org/archives/dbus/2014-July/016235.html

http://www.nessus.org/u?1468253a

プラグインの詳細

深刻度: Low

ID: 76364

ファイル名: freebsd_pkg_e6a7636a02d011e488b6080027671656.nasl

バージョン: 1.8

タイプ: local

公開日: 2014/7/4

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Low

基本値: 2.1

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:dbus, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2014/7/3

脆弱性公開日: 2014/7/2

参照情報

CVE: CVE-2014-3532, CVE-2014-3533