Aviso de seguridad de Debian
DSA-4494-1 kconfig -- actualización de seguridad
- Fecha del informe:
- 9 de ago de 2019
- Paquetes afectados:
- kconfig
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2019-14744.
- Información adicional:
-
Dominik Penner descubrió que KConfig, la infraestructura para dar valor a los parámetros de configuración de KDE, soportaba una funcionalidad que permitía definir la ejecución de órdenes del intérprete de órdenes («shell») en ficheros .desktop. Si a un usuario se le proporciona un fichero .desktop mal construido (por ejemplo, si está embebido en un archivo descargado y se abre este en un explorador de ficheros), se podrían ejecutar órdenes arbitrarias. Esta actualización elimina dicha funcionalidad.
Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 5.28.0-2+deb9u1.
Para la distribución «estable» (buster), este problema se ha corregido en la versión 5.54.0-1+deb10u1.
Le recomendamos que actualice los paquetes de kconfig.
Para información detallada sobre el estado de seguridad de kconfig, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/kconfig