PT-2024-3999 · Gnome+10 · Gnome Glib+10
Philip Withnall
·
Publicado
2024-05-07
·
Atualizado
2025-07-17
·
CVE-2024-34397
CVSS v3.1
5.2
Média
| Vetor | AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do GNOME GLib anteriores à 2.78.5
Versões do GNOME GLib 2.79.x
Versões do GNOME GLib 2.80.x anteriores à 2.80.1
Descrição
Foi descoberta uma falha no GNOME GLib em que um cliente baseado em GDBus que assina sinais de um serviço de sistema confiável, como o NetworkManager, em um computador compartilhado, pode ser induzido a interpretar sinais D-Bus falsificados como se tivessem sido enviados pelo serviço de sistema confiável. Isso pode levar o cliente baseado em GDBus a se comportar incorretamente, com um impacto que depende do aplicativo. A vulnerabilidade está relacionada à verificação incorreta da origem do canal de comunicação.
Recomendações
Para versões do GNOME GLib anteriores à 2.78.5, atualize para a versão 2.78.5 ou posterior.
Para versões do GNOME GLib 2.79.x, atualize para a versão 2.80.1 ou posterior.
Para versões do GNOME GLib 2.80.x anteriores à 2.80.1, atualize para a versão 2.80.1 ou posterior.
Como solução temporária, considere restringir o acesso ao cliente baseado em GDBus para minimizar o risco de exploração.
Correção
Authentication Bypass by Spoofing
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Gnome Glib
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu