Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3849-1 kde4libs

Säkerhetsbulletin från Debian

DSA-3849-1 kde4libs -- säkerhetsuppdatering

Rapporterat den:

2017-05-12

Berörda paket:

kde4libs

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 856890.
I Mitres CVE-förteckning: CVE-2017-6410, CVE-2017-8422.

Ytterligare information:

Flera sårbarheter har upptäckts i kde4libs, kärnbiblioteken för alla KDE 4-applikationer. Projektet Common Vulnerabilities and Exposures project identifierar följande problem:

• CVE-2017-6410

  Itzik Kotler, Yonatan Fridburg och Amit Klein från Safebreach Labs rapporterade att URLer inte rengörs innan de skickas till FindProxyForURL, vilket potentiellt tillåter en fjärrangripare att få åtkomst till känslig information via en skapad PAC-fil.

• CVE-2017-8422

  Sebastian Krahmer från SUSE upptäckte att KAuth-ramverket innehåller en logikbrist där tjänsten som anropar dbus inte kontrolleras ordentligt. Denna brist tillåter förfalskning av anroparens identitet samt tillåter att få rootåtkomst från ett icke-priviligierat konto.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 4:4.14.2-5+deb8u2.

För den instabila distributionen (Sid) har dessa problem rättats i version 4:4.14.26-2.

Vi rekommenderar att ni uppgraderar era kde4libs-paket.