Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
newsbeuter
(any)
newsbeuter-dbg
(any)
Описание
Было обнаружено, что podbeuter, модуль для загрузки подкастов в newsbeuter,
текстовой программе для чтения RSS, неправильно экранирует имена мультимедиа
вложений (файлы подкастов), позволяя удалённому злоумышленнику запускать
произвольные команды командной оболочки на клиентской машине. Эта уязвимость
может использоваться только в том случае, если файл проигрывается в podbeuter.
В предыдущем стабильном выпуске (jessie) эта проблема была исправлена
в версии 2.8-2+deb8u2.
В стабильном выпуске (stretch) эта проблема была исправлена в
версии 2.9-5+deb9u2.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 2.9-7.
Рекомендуется обновить пакеты newsbeuter.
текстовой программе для чтения RSS, неправильно экранирует имена мультимедиа
вложений (файлы подкастов), позволяя удалённому злоумышленнику запускать
произвольные команды командной оболочки на клиентской машине. Эта уязвимость
может использоваться только в том случае, если файл проигрывается в podbeuter.
В предыдущем стабильном выпуске (jessie) эта проблема была исправлена
в версии 2.8-2+deb8u2.
В стабильном выпуске (stretch) эта проблема была исправлена в
версии 2.9-5+deb9u2.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 2.9-7.
Рекомендуется обновить пакеты newsbeuter.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
newsbeuter - 2.9-5+deb9u2
Debian GNU/Linux 8:
noarch:
newsbeuter - 2.8-2+deb8u2
newsbeuter-dbg - 2.8-2+deb8u2
Debian GNU/Linux 9:
noarch:
newsbeuter - 2.9-5+deb9u2
Debian GNU/Linux 8:
noarch:
newsbeuter - 2.8-2+deb8u2
newsbeuter-dbg - 2.8-2+deb8u2
Ссылки
http://www.debian.org/security/dsa-3977/
Источник: CVE
Наименование: CVE-2017-14500
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14500
Источник: CVE
Наименование: CVE-2017-14500
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14500