Debians sikkerhedsbulletin
DSA-3849-1 kde4libs -- sikkerhedsopdatering
- Rapporteret den:
- 12. maj 2017
- Berørte pakker:
- kde4libs
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 856890.
I Mitres CVE-ordbog: CVE-2017-6410, CVE-2017-8422. - Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i kde4libs, kernebibliotekerne til alle KDE 4-applikationer. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2017-6410
Itzik Kotler, Yonatan Fridburg og Amit Klein fra Safebreach Labs rapporterede, at URL'er ikke fornuftighedskontrolleredes før de overføres til FindProxyForURL, hvilket potentielt gjorde det muligt for en fjernangriber at få adgang til følsomme oplysninger gennem en fabrikeret PAC-fil.
- CVE-2017-8422
Sebastian Krahmer fra SUSE, opdagede at frameworket KAuth indeholdt en logisk fejl i hvilken tjenesten der kalder dbus ikke kontrolleres på korrekt vis. Fejlen tillod identitetsforfalskning af kalderen, samt opnåelse af root-rettigheder fra en upriviligeret konto.
I den stabile distribution (jessie), er disse problemer rettet i version 4:4.14.2-5+deb8u2.
I den ustabile distribution (sid), er disse problemer rettet i version 4:4.14.26-2.
Vi anbefaler at du opgraderer dine kde4libs-pakker.
- CVE-2017-6410