Bulletin d'alerte Debian

DSA-4211-1 xdg-utils -- Mise à jour de sécurité

Date du rapport :
25 mai 2018
Paquets concernés :
xdg-utils
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 898317.
Dans le dictionnaire CVE du Mitre : CVE-2017-18266.
Plus de précisions :

Gabriel Corona a découvert que xdg-utils, un ensemble d'outils pour l'intégration à l'environnement de bureau, est vulnérable à des attaques par injection d'arguments. Si la variable d'environnement BROWSER dans l'hôte victime comprend un « %s » et si la victime ouvre un lien contrefait par un attaquant avec xdg-open, la partie malveillante pourrait manipuler les paramètres utilisés par le navigateur lors de son ouverture. Cette manipulation pourrait mettre en place, par exemple, un mandataire vers lequel le trafic du réseau pourrait être intercepté pour cette exécution particulière.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 1.1.0~rc1+git20111210-7.4+deb8u1.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1.1.1-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets xdg-utils.

Pour disposer d'un état détaillé sur la sécurité de xdg-utils, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/xdg-utils