Säkerhetsbulletin från Debian

DSA-4211-1 xdg-utils -- säkerhetsuppdatering

Rapporterat den:
2018-05-25
Berörda paket:
xdg-utils
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 898317.
I Mitres CVE-förteckning: CVE-2017-18266.
Ytterligare information:

Gabriel Corona upptäckte att xdg-utils, ett uppsättning verktyg för integrering av skrivbordsmiljöer, är sårbar för argumentinjiceringsangrepp. Om miljövariabeln BROWSER i offrets värd inkluderar "%s" och offret öppnar en länk som är skapad av en angripare med xdg-open, kan den illasinnade parten manipulera parametrarna som används av webbläsaren när den öppnas. Denna manipulation kunde exempelvis sätta en proxy där nätverkstrafiken kunde avlyssnans för den exekveringen.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 1.1.0~rc1+git20111210-7.4+deb8u1.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.1.1-1+deb9u1.

Vi rekommenderar att ni uppgraderar era xdg-utils-paket.

För detaljerad säkerhetsstatus om xdg-utils vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/xdg-utils