Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3849-1 kde4libs

Bulletin d'alerte Debian

DSA-3849-1 kde4libs -- Mise à jour de sécurité

Date du rapport :

12 mai 2017

Paquets concernés :

kde4libs

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 856890.
Dans le dictionnaire CVE du Mitre : CVE-2017-6410, CVE-2017-8422.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans kde4libs, les bibliothèques principales pour toutes les applications KDE 4. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2017-6410

  Itzik Kotler, Yonatan Fridburg et Amit Klein de Safebreach Labs ont signalé que les URL ne sont pas vérifiées avant de les passer à FindProxyForURL, permettant éventuellement à un attaquant distant d'obtenir des informations sensibles à l'aide d'un fichier PAC contrefait.

• CVE-2017-8422

  Sebastian Krahmer de SUSE a découvert que le cadriciel KAuth renfermait un défaut logique dans lequel le service invoquant dbus n'est pas correctement vérifié. Ce défaut permet d'usurper l'identité de l'appelant et d'obtenir les droits du superutilisateur à partir d'un compte non privilégié.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4:4.14.2-5+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4:4.14.26-2.

Nous vous recommandons de mettre à jour vos paquets kde4libs.