Debians sikkerhedsbulletin
DSA-4650-1 qbittorrent -- sikkerhedsopdatering
- Rapporteret den:
- 2. apr 2020
- Berørte pakker:
- qbittorrent
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 932539.
I Mitres CVE-ordbog: CVE-2019-13640. - Yderligere oplysninger:
-
Miguel Onoro rapporterede at qbittorrent, en bittorrentklient med en GUI-brugergrænseflade baseret på Qt5, tillod kommandoindsprøjtning ved hjælp af shell-metategn i torrent name-parameteret eller current tracker-parameteret, hvilket kunne medføre fjernudførelse af kommandoer ved hjælp af et fabrikeret navn i et RSS-feed, hvis qbittorrent er opsat til at køre et eksternt program ved torrentfuldførelsen.
I den gamle stabile distribution (stretch), er dette problem rettet i version 3.3.7-3+deb9u1.
I den stabile distribution (buster), er dette problem rettet i version 4.1.5-1+deb10u1.
Vi anbefaler at du opgraderer dine qbittorrent-pakker.
For detaljeret sikkerhedsstatus vedrørende qbittorrent, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/qbittorrent