编程爱好者之家

RHSA-2020:4032: dbus 安全更新-中危

2021-02-03 47

阿里云服务器收到 ' RHSA-2020:4032: dbus 安全更新'漏洞,接下来编程爱好者之家为大家讲解下解决方案:

1.漏洞提示

RHSA-2020:4032: dbus 安全更新

2.漏洞描述


漏洞编号漏洞名称漏洞描述


CVE-2019-12749

dbus:DBusServer DBUS_COOKIE_SHA1身份验证绕过在1.10.28之前的dbus,在1.12.16之前的1.12.x和在1.13.12之前的1.13.x,在Ubuntu 14.04中的Canonical Upstart中的DBusServer中使用(以及一些不常见的,使用dbus-daemon),允许cookie由于在libdbus库中DBUS_COOKIE_SHA1的参考实现中的符号链接错误处理而导致欺骗。 (这仅影响DBUS_COOKIE_SHA1身份验证机制。)对其自己的主目录具有写访问权限的恶意客户端可以操作〜/ .dbus-keyrings符号链接,以使具有不同uid的DBusServer在非预期位置进行读写。在最坏的情况下,这可能导致DBusServer重用恶意客户端已知的cookie,并将该cookie视为后续客户端连接来自攻击者选择的uid的证据,允许身份验证绕过。

3.影响说明

软件:dbus 1.10.24-13.el7_6
命中:dbus version less than 1:1.10.24-15.el7
路径:/etc/dbus-1

软件:dbus-libs 1.10.24-13.el7_6
命中:dbus-libs version less than 1:1.10.24-15.el7
路径:/usr/lib64/libdbus-1.so.3

4.解决方案

yum update dbus
yum update dbus-devel

5.重启验证

reboot


image.png


同类文章

您的赞赏是对小编最大的支持!