Debian Project和Canonical为其支持的操作系统发布了安全更新,以解决KDE库中最近披露的一些漏洞。
几周前,KDE社区修复了Dominik Penner在KDEfig组件中发现的安全漏洞,KConfig组件是KDE Plasma桌面环境的配置设置框架,可能允许攻击者通过包含的特制.desktop文件执行恶意代码在文件管理器中打开的存档中。
“Dominik Penner发现KConfig支持在.desktop文件中定义shell命令执行的功能。如果为用户提供格式错误的.desktop文件(例如,如果它嵌入到下载的存档中,并且在文件浏览器中打开)任意命令可以执行。此更新删除了此功能,“。
该问题影响了KDE Frameworks开源软件套件的版本小于2019年8月10日发布的5.61.0版本。补丁在最初的错误报告发布后两天内就可用了,他们正在进入稳定的软件存储库从那时起最流行的GNU / Linux发行版。
建议用户立即更新其安装
在Debian的项目发布了一个安全补丁,以解决上述漏洞(CVE-2019-14744)中的Debian GNU / Linux的9“拉伸”和Debian GNU / Linux的10“巴斯特”操作系统系列,敦促用户在更新的Kconfig包它们的安装分别为版本5.28.0-2 + deb9u1和5.54.0-1 + deb10u1。
另一方面,Canonical今天发布了kconfig和kde4libs软件包的更新版本,以修复Dominik Penner发现的漏洞(CVE-2016-6232),以及可能允许远程攻击者编写的3年安全问题通过档案文件中的文件名中的../任意文件。
补丁现在可用于Ubuntu 19.04(Disco Dingo),Ubuntu 18.04 LTS(Bionic Beaver)和Ubuntu 16.04 LTS(Xenial Xerus)操作系统系列,包括各自的Kubuntu变体。Canonical敦促所有使用KDE Plasma桌面环境的用户尽快更新他们的系统。
扫一扫
3954
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
