Plateforme
linux
Composant
xdg-dbus-proxy
Corrigé dans
0.1.8
xdg-dbus-proxy est un proxy de filtrage pour les connexions D-Bus. Une vulnérabilité dans l'analyseur de politique permet de contourner les restrictions d'écoute, ce qui peut entraîner l'interception de messages D-Bus sensibles. Cette faille affecte les versions 0.1.0 jusqu'à la version 0.1.6. Une correction est disponible dans la version 0.1.7.
La CVE-2026-34080 affecte xdg-dbus-proxy, un proxy de filtrage pour les connexions D-Bus. La vulnérabilité réside dans l'analyseur de politiques, qui ne gère pas correctement le paramètre 'eavesdrop'. Plus précisément, elle permet de contourner les restrictions d'écoute si la valeur 'eavesdrop' dans les règles de politique contient des espaces inattendus (par exemple, 'eavesdrop =true'). Cela permet à des clients malveillants d'intercepter des messages D-Bus auxquels ils ne devraient pas avoir accès, compromettant la sécurité des applications qui dépendent de D-Bus pour une communication sécurisée. La gravité de cette vulnérabilité dépend du contexte d'utilisation de xdg-dbus-proxy et de la sensibilité des données transmises via D-Bus. Un attaquant ayant accès à un système vulnérable pourrait potentiellement voler des informations confidentielles ou manipuler le comportement des applications.
L'exploitation de cette vulnérabilité nécessite un accès à un système exécutant une version vulnérable de xdg-dbus-proxy et la capacité de modifier les règles de politique D-Bus. Un attaquant pourrait créer une règle de politique malveillante contenant un espace avant le signe égal dans le paramètre 'eavesdrop' (par exemple, 'eavesdrop =true'). Lorsque xdg-dbus-proxy traite cette règle, il ne détectera pas l'espace et permettra au client malveillant d'intercepter les messages D-Bus. La difficulté de l'exploitation dépend des autorisations nécessaires pour modifier les règles de politique D-Bus. Dans certains systèmes, ces autorisations peuvent être limitées, tandis que dans d'autres, elles peuvent être plus étendues.
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
La solution à la CVE-2026-34080 consiste à mettre à jour xdg-dbus-proxy à la version 0.1.7 ou supérieure. Cette version corrige la vulnérabilité en validant correctement le paramètre 'eavesdrop' dans les règles de politique, empêchant le contournement des restrictions d'écoute. Il est recommandé d'appliquer cette mise à jour dès que possible, en particulier sur les systèmes où xdg-dbus-proxy est utilisé pour protéger la communication entre des applications sensibles. De plus, examinez les règles de politique D-Bus existantes pour vous assurer qu'elles ne contiennent pas d'espaces inutiles autour du paramètre 'eavesdrop'. Surveillez les systèmes pour détecter toute activité suspecte liée à D-Bus après la mise à jour.
Actualice xdg-dbus-proxy a la versión 0.1.7 o superior para mitigar la vulnerabilidad. Esta actualización corrige el manejo incorrecto de las reglas de política de eavesdrop, previniendo la interceptación no autorizada de mensajes D-Bus.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
D-Bus est un système de communication inter-processus utilisé dans les systèmes Linux et autres systèmes d'exploitation de type Unix.
xdg-dbus-proxy aide à protéger la communication D-Bus en n'autorisant que les applications autorisées à accéder à certains messages.
Vous pouvez vérifier la version en exécutant la commande xdg-dbus-proxy --version dans le terminal.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de revoir vos règles de politique D-Bus pour supprimer tous les espaces inutiles autour du paramètre 'eavesdrop'.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais des audits de sécurité réguliers de vos systèmes sont recommandés.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.