Внедрение в сессию другого пользователя в D-BUS
| Дата публикации: | 06.02.2005 |
| Дата изменения: | 05.03.2008 |
| Всего просмотров: | 1098 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Локальная |
| Воздействие: | Внедрение в сессию пользователя |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | D-Bus 1.x |
| Уязвимые версии: D-BUS 0.23
Описание: Уязвимость в D-BUS позволяет локальному пользователю внедрится в сессию другого пользователя. Локальный пользователь может представить bus адрес в "DBUS_SESSION_BUS_ADDRESS" переменной окружения, чтобы подключится к bus сессии другого пользователя. Уязвимость расположена в 'bus/policy.c'. URL производителя: http://www.freedesktop.org/Software/dbus Решение:Установите соответствующее обновление: https://bugs.freedesktop.org/show_bug.cgi?id=2436 |
|
| Ссылки: | session bus does not restrict connections base on uid |