Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3643-1 kde4libs

Säkerhetsbulletin från Debian

DSA-3643-1 kde4libs -- säkerhetsuppdatering

Rapporterat den:

2016-08-06

Berörda paket:

kde4libs

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 832620.
I Mitres CVE-förteckning: CVE-2016-6232.

Ytterligare information:

Andreas Cord-Landwehr upptäckte att kde4libs, kärnbiblioteken för alla KDE 4-applikationer, inte hanterar extraktion av arkiv med "../" i filsökvägar ordentligt. En fjärrangripare kunde utnyttja denna brist för att skriva över filer utanför extraktionsfolder, om en användare luras att extrahera ett speciellt skapat arkiv.

För den stabila utgåvan (Jessie) har detta problem rättats i version 4:4.14.2-5+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 4:4.14.22-2.

Vi rekommenderar att ni uppgraderar era kde4libs-paket.