Debians sikkerhedsbulletin

DSA-3994-1 nautilus -- sikkerhedsopdatering

Rapporteret den:
7. okt 2017
Berørte pakker:
nautilus
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 860268.
I Mitres CVE-ordbog: CVE-2017-14604.
Yderligere oplysninger:

Christian Boxdörfer opdagede en sårbarhed i håndteringen af FreeDesktop.org-.desktop-filer i Nautilus, et filhåndteringsprogram til skrivebordsmiljøet GNOME. En angriber kunne fabrikere en .desktop-fil beregnet til at køre ondsindede kommandoer, men visende en uskyldigt udseende dokumentfil i Nautilus. En bruger kunne dernæst stole på den, og åbne filen, og Nautilus ville derefter udføre det ondsindede indhold. Nautilus' beskyttelse ved kun at stole på .desktop-filer med rettigheden udførbar, kunne omgås ved at levere .desktop-filen inde i en tarball.

I den gamle stabile distribution (jessie), er problemet endnu ikke rettet.

I den stabile distribution (stretch), er dette problem rettet i version 3.22.3-1+deb9u1.

I distributionen testing (buster), er dette problem rettet i version 3.26.0-1.

I den ustabile distribution (sid), er dette problem rettet i version 3.26.0-1.

Vi anbefaler at du opgraderer dine nautilus-pakker.