Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5296-1 xfce4-settings

Bulletin d'alerte Debian

DSA-5296-1 xfce4-settings -- Mise à jour de sécurité

Date du rapport :

6 décembre 2022

Paquets concernés :

xfce4-settings

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1023732.
Dans le dictionnaire CVE du Mitre : CVE-2022-45062.

Plus de précisions :

Robin Peraglie et Johannes Moritz ont découvert un bogue d'injection d'argument dans le composant xfce4-mime-helper de xfce4-settings. Cela pouvait être exploité en utilisant l'outil courant xdg-open. Dans la mesure où xdg-open est utilisé par de nombreuses applications standard pour ouvrir des liens, ce bogue pouvait être exploité par un attaquant pour exécuter du code arbitraire sur la machine d'un utilisateur en fournissant un fichier PDF malveillant avec des liens spécialement contrefaits.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 4.16.0-1+deb11u1.

Nous vous recommandons de mettre à jour vos paquets xfce4-settings.

Pour disposer d'un état détaillé sur la sécurité de xfce4-settings, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/xfce4-settings.