Bulletin d'alerte Debian

DLA-1384-1 xdg-utils -- Mise à jour de sécurité pour LTS

Date du rapport :
25 mai 2018
Paquets concernés :
xdg-utils
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 898317.
Dans le dictionnaire CVE du Mitre : CVE-2017-18266.
Plus de précisions :

La fonction open_envvar dans xdg-utils ne vérifiait pas les chaînes avant de lancer le programme indiqué par la variable d’environnement BROWSER. Cela pourrait permettre à des attaquants distants de mener des attaques par injection d’argument à l'aide d'une URL contrefaite.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.1.0~rc1+git20111210-6+deb7u4.

Nous vous recommandons de mettre à jour vos paquets xdg-utils.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.