Рекомендация Debian по безопасности
DSA-3947-1 newsbeuter -- обновление безопасности
- Дата сообщения:
- 18.08.2017
- Затронутые пакеты:
- newsbeuter
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2017-12904.
- Более подробная информация:
-
Jeriko One обнаружил, что newsbeuter, текстовая программа для просмотра RSS, неправильно экранирует заголовок и описание новостной статьи при добавлении последней в закладки. Это позволяет удалённому злоумышленнику запускать произвольную команду командной оболочки на клиентской машине.
В предыдущем стабильном выпуске (jessie) эта проблема был исправлена в версии 2.8-2+deb8u1.
В стабильном выпуске (stretch) эта проблема была исправлена в версии 2.9-5+deb9u1.
Рекомендуется обновить пакеты newsbeuter.