Vigil@nce - D-Bus : élévation de privilèges via Midgard2
janvier 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut manipuler l’application Midgard2 utilisant
D-Bus, afin d’élever ses privilèges.
Produits concernés : Unix (plateforme)
Gravité : 2/4
Date création : 05/01/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit D-Bus permet à chaque application d’avoir une
politique de sécurité.
L’application Midgard2 crée une politique autorisant toutes les
applications à envoyer un signal à tous les processus ou à
appeler toutes les méthodes. D’autres applications pourraient
aussi installer de telles politiques trop ouvertes.
Cependant, D-Bus n’interdit pas ces politiques, et ne filtre pas
l’élévation de privilèges via UpdateActivationEnvironment.
Un attaquant local peut donc manipuler l’application Midgard2
utilisant D-Bus, afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/D-Bus-elevation-de-privileges-via-Midgard2-15907