Debians sikkerhedsbulletin

DSA-4494-1 kconfig -- sikkerhedsopdatering

Rapporteret den:
9. aug 2019
Berørte pakker:
kconfig
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2019-14744.
Yderligere oplysninger:

Dominik Penner opdagede at KConfig, KDE's framework til opstæning af indstillinger, understøttede en funktion til definering af udførelse af shell-kommandoer i .desktop-filer. Hvis en bruger modtager en misdannet .desktop-fil (fx hvis den er indlejret i et downloadet arkiv, og det bliver åbnet i en filbrowser), kunne vilkårlige kommandoer blive udført. Denne opdatering fjerner funktionen.

I den gamle stabile distribution (stretch), er dette problem rettet i version 5.28.0-2+deb9u1.

I den stabile distribution (buster), er dette problem rettet i version 5.54.0-1+deb10u1.

Vi anbefaler at du opgraderer dine kconfig-pakker.

For detaljeret sikkerhedsstatus vedrørende kconfig, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/kconfig