低危 D-Bus拒绝服务漏洞（CNVD-2014-04103）

CVE编号

CVE-2014-3533

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-07-20

漏洞描述

D-Bus是一款进程间通信(IPC)实现。用于在应用程序间发送消息。 D-Bus文件描述符解析功能存在漏洞，允许本地攻击者利用漏洞利用该缺陷使非法文件描述符转发到服务或应用，使其与bus端口，造成拒绝服务攻击。

解决建议

dbus 1.6.22, dbus 1.8.6已经修复该漏洞，建议用户下载更新：http://www.freedesktop.org/wiki/Software/dbus

参考链接
http://advisories.mageia.org/MGASA-2014-0294.html
http://lists.opensuse.org/opensuse-updates/2014-09/msg00049.html
http://openwall.com/lists/oss-security/2014/07/02/4
http://secunia.com/advisories/59611
http://secunia.com/advisories/59798
http://secunia.com/advisories/60236
http://www.debian.org/security/2014/dsa-2971
http://www.mandriva.com/security/advisories?name=MDVSA-2015:176
http://www.oracle.com/technetwork/topics/security/bulletinjan2016-2867206.html
https://bugs.freedesktop.org/show_bug.cgi?id=79694
https://bugs.freedesktop.org/show_bug.cgi?id=80469

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	d-bus_project	d-bus	1.3.0	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.3.1	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.0	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.1	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.10	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.12	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.14	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.16	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.18	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.20	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.22	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.24	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.26	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.4	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.6	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.4.8	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.5.0	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.5.10	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.5.12	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.5.2	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.5.4	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.5.6	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.5.8	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.6.0	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.6.10	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.6.12	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.6.14	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.6.16	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.6.18	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.6.2	-
	运行在以下环境
	应用	d-bus_project	d-bus	1.6.20	-
	运行在以下环境
应用	d-bus_project	d-bus	1.8.0	-
运行在以下环境
应用	d-bus_project	d-bus	1.8.2	-
运行在以下环境
应用	d-bus_project	d-bus	1.8.4	-
运行在以下环境
系统	debian	debian_linux	7.0	-
运行在以下环境
系统	debian_10	dbus	*		Up to (excluding) 1.8.6-1
运行在以下环境
系统	debian_11	dbus	*		Up to (excluding) 1.8.6-1
运行在以下环境
系统	debian_12	dbus	*		Up to (excluding) 1.8.6-1
运行在以下环境
系统	debian_7	dbus	*		Up to (excluding) 1.6.8-1+deb7u3
运行在以下环境
系统	debian_sid	dbus	*		Up to (excluding) 1.8.6-1
运行在以下环境
系统	fedora_21	mingw64-dbus-static	*		Up to (excluding) 1.8.12-1.fc21
运行在以下环境
系统	fedora_EPEL_7	mingw64-dbus-static	*		Up to (excluding) 1.8.12-1.el7
运行在以下环境
系统	mageia_project	mageia	3	-
运行在以下环境
系统	mageia_project	mageia	4	-
运行在以下环境
系统	opensuse	opensuse	12.3	-
运行在以下环境
系统	suse_12	dbus-1	*		Up to (excluding) 1.8.8-1
运行在以下环境
系统	ubuntu_12.04.5_lts	dbus	*		Up to (excluding) 1.4.18-1ubuntu1.5
运行在以下环境
系统	ubuntu_14.04	dbus	*		Up to (excluding) 1.6.18-0ubuntu4.1
运行在以下环境
系统	ubuntu_14.04.6_lts	dbus	*		Up to (excluding) 1.6.18-0ubuntu4.1

阿里云评分 2.3

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 -

CWE-ID	漏洞类型
CWE-20	输入验证不恰当

Exp相关链接

- avd.aliyun.com