PT-2020-6170 · D-Bus+6 · Dbus+6

Kevin Backhouse

·

Publicado

2020-04-09

·

Atualizado

2024-06-15

·

CVE-2020-12049

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do dbus de 1.3.0 a 1.12.18
Descrição
O problema está relacionado ao tratamento incorreto dos limites de descritores de arquivo no sistema D-Bus, especificamente na função dbus read socket with unix fds do componente dbus/dbus-sysdeps-unix.c. Isso pode levar a uma negação de serviço quando um invasor local com acesso ao barramento do sistema D-Bus ou ao soquete AF UNIX privado de outro serviço do sistema envia uma mensagem que excede o limite de descritores de arquivo por mensagem, fazendo com que o serviço do sistema atinja seu limite de descritores de arquivo e negue o serviço a clientes D-Bus subsequentes.
Recomendações
Para as versões 1.3.0 a 1.12.18 do dbus, atualize para a versão 1.12.18 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao barramento de sistema D-Bus e aos sockets AF UNIX privados para minimizar o risco de exploração.

Exploit

Correção

Improper Resource Release

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-404

Identificadores relacionados

ALT-PU-2020-2090
ALT-PU-2021-3634
BDU:2021-03403
CESA-2020_2894
CESA-2020_3014
CVE-2020-12049
DLA-2235-1
MGASA-2020-0262
OPENSUSE-SU-2021:1204-1
OPENSUSE-SU-2021:2810-1
OPENSUSE-SU-2021_1204-1
OPENSUSE-SU-2021_2810-1
OPENSUSE-SU-2024:10711-1
RHSA-2020:2894
RHSA-2020:3014
RHSA-2020:3044
RHSA-2020:3298
RHSA-2020_2894
RHSA-2020_3014
SUSE-SU-2021:2424-1
SUSE-SU-2021:2470-1
SUSE-SU-2021:2590-1
SUSE-SU-2021:2810-1
SUSE-SU-2021_2424-1
SUSE-SU-2021_2470-1
SUSE-SU-2021_2590-1
SUSE-SU-2021_2810-1
USN-4398-1
USN-4398-2

Produtos afetados

Alt Linux
Centos
Linuxmint
Red Hat
Suse
Ubuntu
Dbus