Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3165-1 xdg-utils

Säkerhetsbulletin från Debian

DSA-3165-1 xdg-utils -- säkerhetsuppdatering

Rapporterat den:

2015-02-21

Berörda paket:

xdg-utils

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 777722.
I Mitres CVE-förteckning: CVE-2015-1877.

Ytterligare information:

Jiri Horner upptäckte ett sätt att orsaka xdg-open, ett verktyg som automatiskt öppnar URLer med en användares föredragna program, att köra godtyckliga kommandon på distans.

Detta problem påverkar endast /bin/sh-implementationer som inte rengör lokala variabler. Dash, som är standard /bin/sh i Debian är påverkat. Bash som /bin/sh är känt att vara opåverkat.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.1.0~rc1+git20111210-6+deb7u3.

För den kommande stabila (Jessie) och den ostabila (Sid) distributionen, kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era xdg-utils-paket.