Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3643-1 kde4libs

Debians sikkerhedsbulletin

DSA-3643-1 kde4libs -- sikkerhedsopdatering

Rapporteret den:

6. aug 2016

Berørte pakker:

kde4libs

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 832620.
I Mitres CVE-ordbog: CVE-2016-6232.

Yderligere oplysninger:

Andreas Cord-Landwehr opdagede at kde4libs, core-bibliotekerne til alle KDE 4-applikationer, ikke på korrekt vis hånterede udpakning af arkiver med ../ i filstier. En fjernangriber kunne drage nytte af fejlen til at overskrive filer uden for udpakningsmappen, hvis en bruger blev narret til at udpakke et særligt fremstillet arkiv.

I den stabile distribution (jessie), er dette problem rettet i version 4:4.14.2-5+deb8u1.

I den ustabile distribution (sid), er dette problem rettet i version 4:4.14.22-2.

Vi anbefaler at du opgraderer dine kde4libs-pakker.