Aviso de seguridad de Debian

DSA-4211-1 xdg-utils -- actualización de seguridad

Fecha del informe:
25 de may de 2018
Paquetes afectados:
xdg-utils
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 898317.
En el diccionario CVE de Mitre: CVE-2017-18266.
Información adicional:

Gabriel Corona descubrió que xdg-utils, un conjunto de herramientas para integración de entornos de escritorio, es vulnerable a ataques de inyección de parámetros. Si la variable de entorno BROWSER en la máquina de la víctima tiene un "%s" y la víctima abre con xdg-open un enlace modificado por un atacante, la parte maliciosa podría manipular los parámetros utilizados por el navegador cuando fue abierto. Esta manipulación podría, por ejemplo, establecer un proxy que interceptase el tráfico de red para esa ejecución en particular.

Para la distribución «antigua estable» (jessie), este problema se ha corregido en la versión 1.1.0~rc1+git20111210-7.4+deb8u1.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 1.1.1-1+deb9u1.

Le recomendamos que actualice los paquetes de xdg-utils.

Para información detallada sobre el estado de seguridad de xdg-utils consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/xdg-utils