Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3165-1 xdg-utils

Debians sikkerhedsbulletin

DSA-3165-1 xdg-utils -- sikkerhedsopdatering

Rapporteret den:

21. feb 2015

Berørte pakker:

xdg-utils

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 777722.
I Mitres CVE-ordbog: CVE-2015-1877.

Yderligere oplysninger:

Jiri Horner opdagede en måde at få xdg-open, et værktøj der automatisk åbner URL'er i brugerens foretrukne applikation, til at fjernudføre vilkårlige komandoer.

Problemet påvirker kun /bin/sh-implementeringer, som ikke fornuftighedskontrollerer lokale variabler. Dash, som er Debians /bin/sh-standard, er påvirket. Man ved at Bash som /bin/sh ikke er påvirket.

I den stabile distribution (wheezy), er dette problem rettet i version 1.1.0~rc1+git20111210-6+deb7u3.

I den kommende stabile distribution (jessie) og i den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine xdg-utils-pakker.