Информация по безопасности / 2019 / Информация о безопасности -- DSA-4494-1 kconfig

Рекомендация Debian по безопасности

DSA-4494-1 kconfig -- обновление безопасности

Дата сообщения:

09.08.2019

Затронутые пакеты:

kconfig

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2019-14744.

Более подробная информация:

Доминик Пеннер обнаружил, что KConfig, платформа для настройки KDE, поддерживает возможность определения команд для исполнения в файлах .desktop. Если пользователь получил специально сформированный файл .desktop (например, если он встроен в скачиваемый архив, а затем открывается в просмотрщике файлов), то из-за этой возможности могут быть выполнены произвольные команды. Данное обновление убирает эту возможность.

В предыдущем стабильном выпуске (stretch) эта проблема была исправлена в версии 5.28.0-2+deb9u1.

В стабильном выпуске (buster) эта проблема была исправлена в версии 5.54.0-1+deb10u1.

Рекомендуется обновить пакеты kconfig.

С подробным статусом поддержки безопасности kconfig можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/kconfig