Внедрение в сессию другого пользователя в D-BUS

Дата публикации:06.02.2005
Дата изменения:05.03.2008
Всего просмотров:927
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Локальная
Воздействие: Внедрение в сессию пользователя
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: D-Bus 1.x
Уязвимые версии: D-BUS 0.23

Описание: Уязвимость в D-BUS позволяет локальному пользователю внедрится в сессию другого пользователя.

Локальный пользователь может представить bus адрес в "DBUS_SESSION_BUS_ADDRESS" переменной окружения, чтобы подключится к bus сессии другого пользователя. Уязвимость расположена в 'bus/policy.c'.

URL производителя: http://www.freedesktop.org/Software/dbus

Решение:Установите соответствующее обновление: https://bugs.freedesktop.org/show_bug.cgi?id=2436

Ссылки: session bus does not restrict connections base on uid