Рекомендация Debian по безопасности

DSA-4681-1 webkit2gtk -- обновление безопасности

Дата сообщения:
07.05.2020
Затронутые пакеты:
webkit2gtk
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2020-3885, CVE-2020-3894, CVE-2020-3895, CVE-2020-3897, CVE-2020-3899, CVE-2020-3900, CVE-2020-3901, CVE-2020-3902.
Более подробная информация:

В веб-движке webkit2gtk были обнаружены следующие уязвимости:

  • CVE-2020-3885

    Райна Пикрен обнаружил, что URL файла может обрабатываться неправильно.

  • CVE-2020-3894

    Сергей Глазунов обнаружил, что состояние гонки может позволить приложению выполнять чтение содержимого ограниченной памяти.

  • CVE-2020-3895

    grigoritchy обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

  • CVE-2020-3897

    Брендан Драпер обнаружил, что удалённый злоумышленник может вызывать выполнение произвольного кода.

  • CVE-2020-3899

    С помощью инструмента OSS-Fuzz было обнаружено, что удалённый злоумышленник может вызывать выполнение произвольного кода.

  • CVE-2020-3900

    Дунчжоу Чжао обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

  • CVE-2020-3901

    Бенджамин Рандаззо обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

  • CVE-2020-3902

    Йигит Кан Йилмаз обнаружил, что обработка специально сформированного веб-содержимого может приводить к межсайтовому скриптингу.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 2.28.2-2~deb10u1.

Рекомендуется обновить пакеты webkit2gtk.

С подробным статусом поддержки безопасности webkit2gtk можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/webkit2gtk