LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-952-1 kde4libs

Bulletin d'alerte Debian

DLA-952-1 kde4libs -- Mise à jour de sécurité pour LTS

Date du rapport :

25 mai 2017

Paquets concernés :

kde4libs

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 856890.
Dans le dictionnaire CVE du Mitre : CVE-2013-2074, CVE-2017-6410, CVE-2017-8422.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans kde4libs, les bibliothèques centrales pour toutes les applications de KDE 4. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.

• CVE-2017-6410

  Itzik Kotler, Yonatan Fridburg et Amit Klein de Safebreach Labs ont signalé que les URL ne sont pas vérifiées avant de les passer à FindProxyForURL, permettant éventuellement à un attaquant distant d'obtenir des informations sensibles à l'aide d'un fichier PAC contrefait.

• CVE-2017-8422

  Sebastian Krahmer de SUSE a découvert que le cadriciel KAuth renfermait un défaut logique dans lequel le service invoquant dbus n'est pas correctement vérifié. Ce défaut permet d'usurper l'identité de l'appelant et d'obtenir les droits du superutilisateur à partir d'un compte non privilégié.

• CVE-2013-2074

  Il a été découvert que KIO afficherait des identifiants d’authentification dans quelques cas d’erreur.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4:4.8.4-4+deb7u3.

Nous vous recommandons de mettre à jour vos paquets kde4libs.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.