Bulletin d'alerte Debian

DSA-4494-1 kconfig -- Mise à jour de sécurité

Date du rapport :
9 août 2019
Paquets concernés :
kconfig
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-14744.
Plus de précisions :

Dominik Penner a découvert que KConfig, l'infrastructure de configuration de KDE, prenait en charge une fonctionnalité pour définir l'exécution de commandes de l'interpréteur dans des fichiers .desktop. Si un utilisateur reçoit un fichier .desktop mal formé (par exemple s'il est incorporé dans une archive téléchargée et qu'il est ouvert dans un navigateur de fichiers), des commandes arbitraires pourraient être exécutées. Cette mise à jour supprime cette fonctionnalité.

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 5.28.0-2+deb9u1.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 5.54.0-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets kconfig.

Pour disposer d'un état détaillé sur la sécurité de kconfig, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/kconfig.