Debians sikkerhedsbulletin

DSA-4211-1 xdg-utils -- sikkerhedsopdatering

Rapporteret den:
25. maj 2018
Berørte pakker:
xdg-utils
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 898317.
I Mitres CVE-ordbog: CVE-2017-18266.
Yderligere oplysninger:

Gabriel Corona opdagede at xdg-utils, et sæt værktøjer til integration af skrivebordsmiljøer, var sårbare over for parameterindsprøjtningsangreb. Hvis miljøvariablen BROWSER på offerets vært indeholder en %s og offeret åbner et link, fabrikeret af angriberen, med xdg-open, kunne den ondsindede person manipulere med parametrene, som anvendes af browseren ved åbningen. Manipulationen kunne eksempelvis opsætte en proxy, til hvilken netværktstrafikken kunne blive opsnappet i den pågældende udførelse.

I den gamle stabile distribution (jessie), er dette problem rettet i version 1.1.0~rc1+git20111210-7.4+deb8u1.

I den stabile distribution (stretch), er dette problem rettet i version 1.1.1-1+deb9u1.

Vi anbefaler at du opgraderer dine xdg-utils-pakker.

For detaljeret sikkerhedsstatus vedrørende xdg-utils, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/xdg-utils