Bulletin d'alerte Debian

DLA-2727-1 pyxdg -- Mise à jour de sécurité pour LTS

Date du rapport :
3 août 2021
Paquets concernés :
pyxdg
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-12761.
Plus de précisions :

Il a été découvert qu’il existait un problème d’injection de code dans PyXDG, une bibliothèque utilisée pour localiser les répertoires configuration/cache/etc de freedesktop.org.

  • CVE-2019-12761

    Un problème d’injection de code a été découvert dans PyXDG avant la version 0.26 à l’aide de code contrefait en Python dans un élément Category d’un document XML Menu dans un fichier .menu. XDG_CONFIG_DIRS peut être réglé pour déclencher une analyse xdg.Menu.parse dans le répertoire contenant ce fichier. Cela est dû à un manque de nettoyage dans xdg/Menu.py avant un appel à eval().

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.25-4+deb9u1.

Nous vous recommandons de mettre à jour vos paquets pyxdg.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.