Säkerhetsbulletin från Debian

DSA-3994-1 nautilus -- säkerhetsuppdatering

Rapporterat den:
2017-10-07
Berörda paket:
nautilus
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 860268.
I Mitres CVE-förteckning: CVE-2017-14604.
Ytterligare information:

Christian Boxdörfer upptäckte en sårbarhet i hanteringen av FreeDesktop.org .desktop-filer i Nautilus, en filhanterare för skrivbordsmiljön GNOME. En angripare kan skapa en .desktop-fil med tanken att köra illasinnade kommandon men som visas som en ofarlig dokumentfil i Nautilus. En användare skulle därmed tro att den var ofarlig och därmed öppna filen, och Nautilus skulle i sin tur exekvera det illasinnade innehållet. Nautilus skydd att endast anse .desktop-filer med exekverbarflaggan satt som pålitliga kan förbigås genom att distribuera .desktop-filen i ett tar-arkiv.

För den gamla stabila utgåvan (Jessie) har detta problem inte rättats ännu.

För den stabila utgåvan (Stretch) har detta problem rättats i version 3.22.3-1+deb9u1.

För uttestningsutgåvan (Buster) har detta problem rättats i version 3.26.0-1.

För den instabila distributionen (Sid) har detta problem rättats i version 3.26.0-1.

Vi rekommenderar att ni uppgraderar era nautilus-paket.