Информация по безопасности / 2017 / Информация о безопасности -- DSA-3849-1 kde4libs

Рекомендация Debian по безопасности

DSA-3849-1 kde4libs -- обновление безопасности

Дата сообщения:

12.05.2017

Затронутые пакеты:

kde4libs

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 856890.
В каталоге Mitre CVE: CVE-2017-6410, CVE-2017-8422.

Более подробная информация:

В kde4libs, базовых библиотеках для всех приложений KDE 4, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2017-6410

  Итзик Котлер, Йонатан Фридбург и Амит Кляйн из Safebreach Labs сообщили, что очистка URL до их передачи FindProxyForURL не производится, что потенциально позволяет удалённому злоумышленнику получать чувствительную информацию с помощью специально сформированного PAC-файла.

• CVE-2017-8422

  Себастиан Крамер из SUSE обнаружил, что инфраструктура KAuth содержит логическую ошибку, из-за которой служба, вызывающая dbus, проверяется некорректно. Эта уязвимостей позволяет подделывать идентичность вызывающего приложения и получать права суперпользователя, используя непривилегированную учётную запись.

В стабильном выпуске (jessie) эта проблемы были исправлены в версии 4:4.14.2-5+deb8u2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4:4.14.26-2.

Рекомендуется обновить пакеты kde4libs.