O Projeto Debian e a Canonical lançaram atualizações de segurança para seus sistemas operacionais suportados para resolver algumas vulnerabilidades divulgadas recentemente nas bibliotecas do KDE. Assim, as vulnerabilidades de segurança do KDE são corrigidas no Ubuntu e Debian.
Algumas semanas atrás, a comunidade KDE corrigiu uma vulnerabilidade de segurança descoberta por Dominik Penner no componente KConfig. Isso diz respeito à estrutura de configurações do ambiente de área de trabalho KDE Plasma. O problema poderia permitir que um invasor executasse códigos maliciosos. Isto era feito por meio de um arquivo .desktop especialmente criado em um arquivo que foi aberto no gerenciador de arquivos.
Vulnerabilidades de segurança do KDE são corrigidas no Ubuntu e Debian
Dominik Penner descobriu que o KConfig suportava um recurso para definir a execução de comandos shell em arquivos .desktop. Se um usuário receber um arquivo .desktop mal formado (por exemplo, se estiver embutido em um arquivo baixado e aberto em um navegador de arquivos), comandos arbitrários Esta atualização remove este recurso, diz o aviso de segurança do Debian.
O problema afetou as versões do pacote de software de código aberto do KDE Frameworks anteriores ao release 5.61.0 anunciado em 10 de agosto de 2019. Patches foram disponibilizados dentro de dois dias a partir do relatório de bug inicial. Assim, eles estavam entrando nos repositórios de software estáveis das distribuições GNU/Linux mais populares desde então.
Usuários devem atualizar imediatamente para corrigir as vulnerabilidades de segurança do KDE no Ubuntu e Debian
O Projeto Debian lançou um patch de segurança para lidar com a referida vulnerabilidade (CVE-2019-14744) na série de sistemas operacionais Debian GNU/Linux 9 “Stretch” e Debian GNU/Linux 10 “Buster”. Portanto, os usuários devem atualizar o pacote kconfig em suas instalações para as versões 5.28.0-2 + ??deb9u1 e 5.54.0-1 + deb10u1, respectivamente.
Por outro lado, a Canonical lançou versões atualizadas dos pacotes kconfig e kde4libs para corrigir a vulnerabilidade (CVE-2016-6232) descoberta por Dominik Penner. Além disso, resolveu um problema de segurança de 3 anos. Ele poderia permitir que atacantes remotos gravassem para arquivos arbitrários via ../ num nome de arquivo.
Patches estão disponíveis agora para as séries:
- Ubuntu 19.04 (Disco Dingo);
- Ubuntu 18.04 LTS (Bionic Beaver);
- e Ubuntu 16.04 LTS (Xenial Xerus).
Assim, foram incluídas as respectivas variantes do Kubuntu. A Canonical recomenda que todos os usuários que usam o ambiente de área de trabalho do KDE Plasma atualizem seus sistemas o quanto antes.
Via Softpedia