dbus：DBusServer DBUS_COOKIE_SHA1身份验证绕过

在1.10.28之前的dbus，在1.12.16之前的1.12.x和在1.13.12之前的1.13.x，在Ubuntu 14.04中的Canonical Upstart中的DBusServer中使用（以及一些不常见的，使用dbus-daemon），允许cookie由于在libdbus库中DBUS_COOKIE_SHA1的参考实现中的符号链接错误处理而导致欺骗。 （这仅影响DBUS_COOKIE_SHA1身份验证机制。）对其自己的主目录具有写访问权限的恶意客户端可以操作〜/ .dbus-keyrings符号链接，以使具有不同uid的DBusServer在非预期位置进行读写。在最坏的情况下，这可能导致DBusServer重用恶意客户端已知的cookie，并将该cookie视为后续客户端连接来自攻击者选择的uid的证据，允许身份验证绕过。