PT-2022-5133 · D-Bus+10 · D-Bus+10
Evgeny Vereshchagin
·
Publicado
2022-10-05
·
Atualizado
2026-01-11
·
CVE-2022-42010
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do D-Bus 1.12.24 e anteriores, 1.13.x e anteriores, 1.14.x anteriores à 1.14.4 e 1.15.x anteriores à 1.15.2
Descrição
O problema está relacionado ao tratamento de assinaturas de tipo pelo sistema D-Bus, o que pode causar uma falha ao receber uma mensagem com determinadas assinaturas inválidas. Um invasor autenticado pode explorar isso para causar a falha do dbus-daemon e de outros programas que utilizam a libdbus. O problema é causado por uma assinatura de tipo sintaticamente inválida com colchetes e chaves incorretamente aninhados.
Recomendações
Para as versões 1.12.24 e anteriores do D-Bus, atualize para a versão 1.12.24 ou posterior.
Para as versões 1.13.x do D-Bus, atualize para a versão 1.14.4 ou posterior.
Para versões do D-Bus 1.14.x anteriores à 1.14.4, atualize para a versão 1.14.4 ou posterior.
Para versões do D-Bus 1.15.x anteriores à 1.15.2, atualize para a versão 1.15.2 ou posterior.
Como solução temporária, considere restringir o acesso ao dbus-daemon para minimizar o risco de exploração.
Exploit
Correção
Improper Verification of Cryptographic Signature
Assertion Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
D-Bus
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu