Рекомендация Debian по безопасности

DSA-3994-1 nautilus -- обновление безопасности

Дата сообщения:
07.10.2017
Затронутые пакеты:
nautilus
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 860268.
В каталоге Mitre CVE: CVE-2017-14604.
Более подробная информация:

Кристиан Боксдёрфер обнаружил уязвимость в коде обработки .desktop файлов FreeDesktop.org в Nautilus, файловом менеджере для окружения рабочего стола GNOME. Злоумышленник может сформировать файл .desktop, предназначенный для запуска вредоносных команд, который в Nautilus будет отображаться как безвредный документ. В этом случае пользователь может доверять этому файлу и откроет его, тогда Nautilus запустит вредоносное содержимое. Защиту Nautilus по доверию файлам .desktop с правами на запуск можно обойти, поместив файл .desktop внутрь tar-архива.

В предыдущем стабильном выпуске (jessie) эта проблема пока не исправлена.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 3.22.3-1+deb9u1.

В тестируемом выпуске (buster) эта проблема была исправлена в версии 3.26.0-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.26.0-1.

Рекомендуется обновить пакеты nautilus.