Debian DSA-3994-1:nautilus - 安全性更新

medium Nessus Plugin ID 103717

概要

遠端 Debian 主機缺少安全性更新。

說明

Christian Boxdorfer 發現在 GNOME 桌面環境的檔案管理程式 Nautilus 中處理 FreeDesktop.org .desktop 檔案時存在一個弱點。攻擊者可以在 Nautilus 中建立貌似無害的文件檔,但實際上卻是意圖執行惡意命令的特製 .desktop 檔案。使用者可能會信任並開啟該檔案,讓 Nautilus 隨後執行惡意內容。如此一來,Nautilus 僅限信任具有可執行檔權限的 .desktop 檔案的防護機制,可藉由隨附放入 tarball 內的 .desktop 檔案來繞過。

解決方案

升級 nautilus 套件。針對舊的穩定發行版本 (jessie),此問題尚未修正。針對穩定的發行版本 (stretch),此問題已在 3.22.3-1+deb9u1 版本中修正。

另請參閱

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=860268

https://packages.debian.org/source/stretch/nautilus

https://www.debian.org/security/2017/dsa-3994

Plugin 詳細資訊

嚴重性: Medium

ID: 103717

檔案名稱: debian_DSA-3994.nasl

版本: 3.4

類型: local

代理程式: unix

已發布: 2017/10/9

已更新: 2021/1/4

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 4

媒介: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N

CVSS v3

風險因素: Medium

基本分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:nautilus, cpe:/o:debian:debian_linux:9.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

修補程式發佈日期: 2017/10/7

參考資訊

CVE: CVE-2017-14604

DSA: 3994