Aviso de seguridad de Debian

DSA-4650-1 qbittorrent -- actualización de seguridad

Fecha del informe:
2 de abr de 2020
Paquetes afectados:
qbittorrent
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 932539.
En el diccionario CVE de Mitre: CVE-2019-13640.
Información adicional:

Miguel Onoro informó de que qbittorrent, un cliente bittorrent con interfaz de usuario gráfica Qt5, permite la inyección de órdenes por medio de metacaracteres del intérprete de órdenes («shell») en los parámetros torrent name («nombre del torrent») o current tracker («rastreador actual»), lo que podría dar lugar a ejecución de órdenes remotas mediante un nombre manipulado en una fuente RSS si se configura qbittorrent para ejecutar un programa externo al completarse el torrent.

Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 3.3.7-3+deb9u1.

Para la distribución «estable» (buster), este problema se ha corregido en la versión 4.1.5-1+deb10u1.

Le recomendamos que actualice los paquetes de qbittorrent.

Para información detallada sobre el estado de seguridad de qbittorrent, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/qbittorrent