PT-2022-5134 · D-Bus+10 · D-Bus+10
Evgeny Vereshchagin
·
Publicado
2022-10-05
·
Atualizado
2025-01-28
·
CVE-2022-42012
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do D-Bus 1.12.24 e anteriores, 1.13.x, 1.14.x anteriores à 1.14.4 e 1.15.x anteriores à 1.15.2
Descrição
Foi descoberta uma falha no D-Bus que permite que um invasor autenticado provoque a falha do dbus-daemon e de outros programas que utilizam a libdbus, enviando uma mensagem com descritores de arquivo anexados em um formato inesperado. A vulnerabilidade está relacionada a um erro de uso após liberação (use-after-free) causado por uma mensagem com descritores de arquivo Unix fora da banda e uma ordem de bytes não nativa. Isso pode levar a uma negação de serviço.
Recomendações
Para as versões 1.12.24 e anteriores do D-Bus, atualize para a versão 1.12.24 ou posterior.
Para a versão 1.13.x do D-Bus, atualize para a versão 1.14.4 ou posterior.
Para a versão 1.14.x do D-Bus anterior à 1.14.4, atualize para a versão 1.14.4 ou posterior.
Para a versão 1.15.x do D-Bus anterior à 1.15.2, atualize para a versão 1.15.2 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao
dbus-daemon para minimizar o risco de exploração.Exploit
Correção
Improper Validation of Array Index
Use After Free
Assertion Failure
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
D-Bus
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu