DFN-CERT

Advisory-Archiv

2017-1767: GNOME Nautilus: Eine Schwachstelle ermöglicht die Ausführung beliebiger Shell-Befehle

Historie:

Version 1 (2017-10-09 12:59)
Neues Advisory
Version 2 (2018-01-25 18:07)
Red Hat stellt für die Red Hat Enterprise Linux 7 Produktvarianten Server, Workstation, Desktop und Linux for Scientific Computing sowie für Compute Node 7.4 Extended Update Support (EUS) und die Server 7.4 Produktversionen Advanced Update Support (AUS), Extended Update Support (EUS), 4 Year Extended Update Support und Telco Update Support (TUS) Sicherheitsupdates für 'nautilus' bereit, um diese Schwachstelle zu beheben.
Version 3 (2018-01-26 11:00)
Für Oracle Linux 7 (x86_64) steht ein Backport-Sicherheitsupdate für Nautilus bereit, um die Schwachstelle zu beheben.
Version 4 (2018-06-15 10:37)
Für die SUSE Linux Enterprise Produkte Server und Software Development Kit 11 SP4 sowie für SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'nautilus' zur Verfügung.
Version 5 (2018-07-25 18:38)
Für die SUSE Linux Enterprise Produkte Workstation Extension 12 SP3, Software Development Kit 12 SP3, Server und Workstation 12 SP3 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'nautilus' zur Verfügung.
Version 6 (2018-08-06 18:14)
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'nautilus' bereit.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein lokaler, einfach authentisierter Angreifer kann eine Schwachstelle in GNOME Nautilus ausnutzen, um Dateien des Typs '.desktop' mit einem falschen Dateityp zu versehen und infolgedessen beliebige Shell-Befehle zur Ausführung zu bringen, sobald die Datei von einem Benutzer geöffnet wird.

Debian stellt für die stabile Distribution Stretch ein Backport-Sicherheitsupdate und für die Test-Distribution Buster ein Sicherheitsupdate für 'nautilus' bereit. Für die vormals stabile Distribution Jessie steht derzeit noch kein Sicherheitsupdate bereit.

Schwachstellen:

CVE-2017-14604

Schwachstelle in GNOME Nautilus ermöglicht Ausführung beliebiger Shell-Befehle

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.