Información sobre seguridad / 2019 / Información sobre seguridad -- DSA-4494-1 kconfig

Aviso de seguridad de Debian

DSA-4494-1 kconfig -- actualización de seguridad

Fecha del informe:

9 de ago de 2019

Paquetes afectados:

kconfig

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2019-14744.

Información adicional:

Dominik Penner descubrió que KConfig, la infraestructura para dar valor a los parámetros de configuración de KDE, soportaba una funcionalidad que permitía definir la ejecución de órdenes del intérprete de órdenes («shell») en ficheros .desktop. Si a un usuario se le proporciona un fichero .desktop mal construido (por ejemplo, si está embebido en un archivo descargado y se abre este en un explorador de ficheros), se podrían ejecutar órdenes arbitrarias. Esta actualización elimina dicha funcionalidad.

Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 5.28.0-2+deb9u1.

Para la distribución «estable» (buster), este problema se ha corregido en la versión 5.54.0-1+deb10u1.

Le recomendamos que actualice los paquetes de kconfig.

Para información detallada sobre el estado de seguridad de kconfig, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/kconfig