プラットフォーム
linux
コンポーネント
xdg-dbus-proxy
修正版
0.1.8
xdg-dbus-proxy は D-Bus 接続のためのフィルタリングプロキシです。バージョン 0.1.0 から 0.1.6 までのバージョンでは、ポリシーパーサーの脆弱性が存在し、 eavesdrop=true の形式のポリシーを正しく処理できないため、D-Bus メッセージの傍受制限を回避できてしまいます。この脆弱性により、本来アクセスできないはずの D-Bus メッセージをクライアントが傍受する可能性があります。0.1.7 でこの問題は修正されています。
CVE-2026-34080 は、D-Bus接続のフィルタリングプロキシである xdg-dbus-proxy に影響を与えます。この脆弱性は、ポリシーパーサーに存在し、'eavesdrop' パラメータを正しく処理しません。具体的には、ポリシー規則の 'eavesdrop' 値に予期しないスペースが含まれている場合(例:'eavesdrop =true')、傍受制限を回避できます。これにより、悪意のあるクライアントがアクセスすべきではない D-Bus メッセージを傍受し、D-Bus を安全な通信に利用するアプリケーションのセキュリティを損なう可能性があります。この脆弱性の深刻度は、xdg-dbus-proxy の使用状況と D-Bus を介して送信されるデータの機密性によって異なります。 攻撃者は、脆弱なシステムにアクセスすることで、機密情報を盗んだり、アプリケーションの動作を操作したりする可能性があります。
この脆弱性の悪用には、脆弱なバージョンの xdg-dbus-proxy が実行されているシステムへのアクセスと、D-Bus ポリシー規則を変更する機能が必要です。攻撃者は、'eavesdrop' パラメータの等号記号の前にスペースを含む悪意のあるポリシー規則を作成する可能性があります(例:'eavesdrop =true')。xdg-dbus-proxy がこの規則を処理すると、スペースを検出しず、悪意のあるクライアントが D-Bus メッセージを傍受することを許可します。悪用の難易度は、D-Bus ポリシー規則を変更するために必要な権限によって異なります。一部のシステムでは、これらの権限は制限されている可能性がありますが、他のシステムではより広範な場合があります。
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVE-2026-34080 の解決策は、xdg-dbus-proxy をバージョン 0.1.7 以降に更新することです。このバージョンは、ポリシー規則の 'eavesdrop' パラメータを正しく検証することで脆弱性を修正し、傍受制限の回避を防ぎます。特に、機密性の高いアプリケーション間の通信を保護するために xdg-dbus-proxy が使用されているシステムでは、この更新をできるだけ早く適用することをお勧めします。さらに、既存の D-Bus ポリシー規則を確認し、'eavesdrop' パラメータの周囲に不要なスペースが含まれていないことを確認してください。更新後、D-Bus 関連の疑わしいアクティビティを監視してください。
Actualice xdg-dbus-proxy a la versión 0.1.7 o superior para mitigar la vulnerabilidad. Esta actualización corrige el manejo incorrecto de las reglas de política de eavesdrop, previniendo la interceptación no autorizada de mensajes D-Bus.
脆弱性分析と重要アラートをメールでお届けします。
D-Bus は、Linux やその他の Unix ライクなオペレーティングシステムで使用されるプロセス間通信システムです。
xdg-dbus-proxy は、許可されたアプリケーションのみが特定のメッセージにアクセスできるようにすることで、D-Bus 通信を保護するのに役立ちます。
ターミナルで xdg-dbus-proxy --version コマンドを実行することで、バージョンを確認できます。
すぐにアップデートできない場合は、D-Bus ポリシー規則を確認して、'eavesdrop' パラメータの周囲に不要なスペースがないことを確認してください。
現在、この脆弱性を検出するための特定のツールはありませんが、システムの定期的なセキュリティ監査をお勧めします。