SuSE 11.3 安全更新：dbus-1（SAT 修补程序编号 9733）

low Nessus 插件 ID 77755

语言：

简介

远程 SuSE 11 主机缺少一个或多个安全更新。

描述

修复了 DBUS 服务中的各种拒绝服务问题。

- dbus-daemon 跟踪方法调用消息是否预期收到回复，以便可以删除未经请求的回复。在当前的实现中，如果有 n 个并行方法调用正在进行，则每个方法回复会消耗 O(n) CPU 时间。恶意用户可通过打开允许的最大并行连接数并在每个连接上发送最大数量的并行方法调用来利用此问题，从而导致后续的方法调用不合理的缓慢，即拒绝服务。(CVE-2014-3638)

- dbus-daemon 允许少量身份尚未得到确认的“不完整”连接（默认为 64 个）。达到此限制时，将终止后续连接。Alban 的测试显示，进行反复连接尝试但从未完成认证握手、反而等待 dbus-daemon 超时并将其断开的恶意进程可导致大部分合法连接尝试失败。
(CVE-2014-3639)

解决方案

请应用 SAT 修补程序编号 9733。

另见

https://bugzilla.novell.com/show_bug.cgi?id=896453

http://support.novell.com/security/cve/CVE-2014-3638.html

http://support.novell.com/security/cve/CVE-2014-3639.html

插件详情

严重性: Low

ID: 77755

文件名: suse_11_dbus-1-140916.nasl

版本: 1.4

类型: local

代理: unix

系列: SuSE Local Security Checks

发布时间: 2014/9/19

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Low

基本分数: 2.1

矢量: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:novell:suse_linux:11:dbus-1, cpe:/o:novell:suse_linux:11, p-cpe:/a:novell:suse_linux:11:dbus-1-x11, p-cpe:/a:novell:suse_linux:11:dbus-1-32bit

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2014/9/16

参考资料信息

CVE: CVE-2014-3638, CVE-2014-3639