Внедрение в сессию другого пользователя в D-BUS

Дата публикации:
06.02.2005
Дата изменения:
05.03.2008
Всего просмотров:
832
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная
Воздействие:
Внедрение в сессию пользователя
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
D-Bus 1.x
Уязвимые версии: D-BUS 0.23

Описание: Уязвимость в D-BUS позволяет локальному пользователю внедрится в сессию другого пользователя.

Локальный пользователь может представить bus адрес в "DBUS_SESSION_BUS_ADDRESS" переменной окружения, чтобы подключится к bus сессии другого пользователя. Уязвимость расположена в 'bus/policy.c'.

URL производителя: http://www.freedesktop.org/Software/dbus

Решение:Установите соответствующее обновление: https://bugs.freedesktop.org/show_bug.cgi?id=2436

Ссылки: session bus does not restrict connections base on uid

или введите имя

CAPTCHA