阿里云漏洞库

漏洞描述

在ibus中发现了一个缺陷，该缺陷允许任何非特权用户监视另一个用户的ibus总线，并由于DBus服务器设置中的错误配置而将方法调用发送到该用户的ibus总线。本地攻击者可能利用此漏洞拦截正在使用图形界面的受害者用户的所有击键，更改输入法引擎，或修改受害者用户的其他与输入相关的配置。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/ibus/ibus/commit/3d442dbf936d197aa11ca0a71663c2bc61696151

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1717958
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14822
https://usn.ubuntu.com/4134-3/
https://www.oracle.com/security-alerts/cpuapr2022.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibus_project	ibus	-	-
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	ibus	*		Up to (excluding) 2.56.1-7.1.al7
	运行在以下环境
	系统	alibaba_cloud_linux_3	ibus	*		Up to (excluding) 2.56.4-8.1.al8
	运行在以下环境
	系统	alma_linux_8	glib2-doc	*		Up to (excluding) 2.56.4-8.el8
	运行在以下环境
	系统	amazon_2	ibus	*		Up to (excluding) 1.5.17-11.amzn2
	运行在以下环境
	系统	centos_7	ibus	*		Up to (excluding) 2.56.1-7.el7
	运行在以下环境
	系统	debian_10	ibus	*		Up to (excluding) 1.5.19-4+deb10u1
	运行在以下环境
	系统	debian_11	ibus	*		Up to (excluding) 1.5.21-1
	运行在以下环境
	系统	debian_12	ibus	*		Up to (excluding) 1.5.21-1
	运行在以下环境
	系统	debian_9	ibus	*		Up to (excluding) 1.5.14-3+deb9u2
	运行在以下环境
	系统	fedora_29	ibus	*		Up to (excluding) 1.5.19-17.fc29
	运行在以下环境
	系统	fedora_30	ibus	*		Up to (excluding) 1.5.20-5.fc30
	运行在以下环境
	系统	fedora_31	ibus	*		Up to (excluding) 1.5.21-2.fc31
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	ibus	*		Up to (excluding) 1.5.19-8.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	ibus	*		Up to (excluding) 1.5.19-8.ky10
	运行在以下环境
	系统	opensuse_Leap_15.0	ibus	*		Up to (excluding) 1.5.17-lp150.4.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	ibus	*		Up to (excluding) 1.5.19-lp151.2.3.1
	运行在以下环境
	系统	oracle_7	ibus	*		Up to (excluding) 1.5.17-11.el7
	运行在以下环境
	系统	oracle_8	glib2	*		Up to (excluding) 2.56.4-8.el8
	运行在以下环境
	系统	redhat_7	ibus	*		Up to (excluding) 2.56.1-7.el7
	运行在以下环境
	系统	redhat_8	ibus	*		Up to (excluding) 1.5.19-11.el8
	运行在以下环境
	系统	suse_12_SP4	ibus	*		Up to (excluding) 1.5.13-15.11.2
	运行在以下环境
	系统	suse_12_SP5	ibus	*		Up to (excluding) 1.5.13-15.11.2
	运行在以下环境
	系统	ubuntu_16.04	ibus	*		Up to (excluding) 1.5.11-1ubuntu2.4
	运行在以下环境
	系统	ubuntu_18.04	ibus	*		Up to (excluding) 1.5.17-3ubuntu5.3

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-862	授权机制缺失

低危 缺少授权允许本地攻击者访问其他用户的输入总线

漏洞描述

解决建议

参考链接

受影响软件情况

低危缺少授权允许本地攻击者访问其他用户的输入总线