Рекомендация Debian по безопасности

DSA-4494-1 kconfig -- обновление безопасности

Дата сообщения:
09.08.2019
Затронутые пакеты:
kconfig
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2019-14744.
Более подробная информация:

Доминик Пеннер обнаружил, что KConfig, платформа для настройки KDE, поддерживает возможность определения команд для исполнения в файлах .desktop. Если пользователь получил специально сформированный файл .desktop (например, если он встроен в скачиваемый архив, а затем открывается в просмотрщике файлов), то из-за этой возможности могут быть выполнены произвольные команды. Данное обновление убирает эту возможность.

В предыдущем стабильном выпуске (stretch) эта проблема была исправлена в версии 5.28.0-2+deb9u1.

В стабильном выпуске (buster) эта проблема была исправлена в версии 5.54.0-1+deb10u1.

Рекомендуется обновить пакеты kconfig.

С подробным статусом поддержки безопасности kconfig можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/kconfig