Debians sikkerhedsbulletin
DSA-4494-1 kconfig -- sikkerhedsopdatering
- Rapporteret den:
- 9. aug 2019
- Berørte pakker:
- kconfig
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2019-14744.
- Yderligere oplysninger:
-
Dominik Penner opdagede at KConfig, KDE's framework til opstæning af indstillinger, understøttede en funktion til definering af udførelse af shell-kommandoer i .desktop-filer. Hvis en bruger modtager en misdannet .desktop-fil (fx hvis den er indlejret i et downloadet arkiv, og det bliver åbnet i en filbrowser), kunne vilkårlige kommandoer blive udført. Denne opdatering fjerner funktionen.
I den gamle stabile distribution (stretch), er dette problem rettet i version 5.28.0-2+deb9u1.
I den stabile distribution (buster), er dette problem rettet i version 5.54.0-1+deb10u1.
Vi anbefaler at du opgraderer dine kconfig-pakker.
For detaljeret sikkerhedsstatus vedrørende kconfig, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/kconfig