Рекомендация Debian по безопасности

DSA-4211-1 xdg-utils -- обновление безопасности

Дата сообщения:
25.05.2018
Затронутые пакеты:
xdg-utils
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 898317.
В каталоге Mitre CVE: CVE-2017-18266.
Более подробная информация:

Габриэль Корона обнаружил, что xdg-utils, набор инструментов для интеграции окружения рабочего стола, уязвим к инъекции аргументов. Если переменная окружения BROWSER на узле жертвы содержит %s, а жертва открывает созданную злоумышленником ссылку с помощью xdg-open, то при её открытии злоумышленник может управлять параметрами, используемыми браузером. К примеру, злоумышленник может установить прокси, через который в ходе текущего выполнения браузера будет перехватываться сетевой трафик.

В предыдущем стабильном выпуске (jessie) эта проблема была исправлена в версии 1.1.0~rc1+git20111210-7.4+deb8u1.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 1.1.1-1+deb9u1.

Рекомендуется обновить пакеты xdg-utils.

С подробным статусом поддержки безопасности xdg-utils можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/xdg-utils