Vigil@nce : D-Bus, envoi de message
décembre 2008 par Vigil@nce
La politique par défaut de D-Bus permet à une application
d’envoyer un message.
– Gravité : 2/4
– Conséquences : transit de données
– Provenance : shell utilisateur
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 08/12/2008
PRODUITS CONCERNÉS
– Fedora
– Unix - plateforme
DESCRIPTION
L’environnement D-Bus permet aux applications d’échanger des
informations.
Suite à une erreur de logique, la politique par défaut de D-Bus
permet aux applications d’émettre et de recevoir des messages.
S’il n’y a pas de règle "deny" explicite, les messages sont
autorisés.
Une application illicite peut donc envoyer des messages aux autres
applications, si aucune règle de filtrage ne l’interdit.
CARACTÉRISTIQUES
– Références : BID-32674, CVE-2008-4311, FEDORA-2008-10733,
FEDORA-2008-10907, VIGILANCE-VUL-8291
– Url : http://vigilance.fr/vulnerabilite/8291