Информация по безопасности / 2015 / Информация о безопасности -- DSA-3165-1 xdg-utils

Рекомендация Debian по безопасности

DSA-3165-1 xdg-utils -- обновление безопасности

Дата сообщения:

21.02.2015

Затронутые пакеты:

xdg-utils

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 777722.
В каталоге Mitre CVE: CVE-2015-1877.

Более подробная информация:

Иржи Хорнер обнаружил способ, с помощью которого можно заставить xdg-open, инструмент для автоматического открытия URL в выбранном пользователем приложении, удалённо выполнить произвольные команды.

Данная проблема касается только реализаций /bin/sh, которые не очищают локальные переменные. Dash, являющийся /bin/sh по умолчанию в Debian, подвержен этой проблеме. Известно, что использование Bash в качестве /bin/sh не подвержено этой проблеме.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.1.0~rc1+git20111210-6+deb7u3.

В готовящемся стабильном (jessie) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты xdg-utils.