Sikkerhedsoplysninger / 2020 / Sikkerhedsoplysninger -- DSA-4650-1 qbittorrent

Debians sikkerhedsbulletin

DSA-4650-1 qbittorrent -- sikkerhedsopdatering

Rapporteret den:

2. apr 2020

Berørte pakker:

qbittorrent

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 932539.
I Mitres CVE-ordbog: CVE-2019-13640.

Yderligere oplysninger:

Miguel Onoro rapporterede at qbittorrent, en bittorrentklient med en GUI-brugergrænseflade baseret på Qt5, tillod kommandoindsprøjtning ved hjælp af shell-metategn i torrent name-parameteret eller current tracker-parameteret, hvilket kunne medføre fjernudførelse af kommandoer ved hjælp af et fabrikeret navn i et RSS-feed, hvis qbittorrent er opsat til at køre et eksternt program ved torrentfuldførelsen.

I den gamle stabile distribution (stretch), er dette problem rettet i version 3.3.7-3+deb9u1.

I den stabile distribution (buster), er dette problem rettet i version 4.1.5-1+deb10u1.

Vi anbefaler at du opgraderer dine qbittorrent-pakker.

For detaljeret sikkerhedsstatus vedrørende qbittorrent, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/qbittorrent