Несколько уязвимостей в KDE

Дата публикации:
15.08.2004
Всего просмотров:
1309
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: KDE 3.2.3 и более ранние версии

Описание: Несколько уязвимостей обнаружено в KDE. Локальный пользователь может получить поднятые привилегии. Удаленный пользователь может подменить Web сайт.

Локальный пользователь может заставить KDE создать или перезаписать произвольные файлы, создавая символьные ссылки из файла на системе к временному файлу, используемому KDE в '~/.kde'. [CVE: CAN-2004-0689]. Затем, когда целевой пользователь запускает KDE приложение вне KDE среды, ссылающийся файл будет создан или перезаписан. Уязвимость позволяет локальному пользователю получить поднятые привилегии.

Также сообщается что KDE DCOPServer небезопасно создает временные файлы [CVE: CAN-2004-0690], включая временные файлы, используемые для аутентификации. Локальный пользователь может получить доступ к учетной записи целевого пользователя.

Удаленный пользователь может создать HTML, который, когда будет загружен, откроет фрейм в произвольной фреймовой Web странице, которая открыта на целевой системе пользователя [CVE: CAN-2004-0721]. Удаленный пользователь может эксплуатировать эту уязвимость для подмены Web сайта.

URL производителя:http://www.kde.org/info/security/

Решение:Установите соответствующее обновление:

For CVE CAN-2004-0689:

Patches for KDE 3.0.5b are available from
ftp://ftp.kde.org/pub/kde/security_patches : 

da950a651e69cd810019efce284120fc post-3.0.5b-kdelibs-kstandarddirs.patch

Patches for KDE 3.1.5 are available from
ftp://ftp.kde.org/pub/kde/security_patches : 

c97ab0cf014adb59e315047210316f5d post-3.1.5-kdelibs-kstandarddirs.patch

Patches for KDE 3.2.3 are available from
ftp://ftp.kde.org/pub/kde/security_patches : 

345ce2e01cfdfa4754c47894c0271dcc post-3.2.3-kdelibs-kstandarddirs.patch

For CVE CAN-2004-0690:

Patches for KDE 3.2.3 are available from
ftp://ftp.kde.org/pub/kde/security_patches : 

0046c691fa833b2ff8d7eac15312a68b post-3.2.3-kdelibs-dcopserver.patch

For CVE CAN-2004-0721:

Patches for KDE 3.0.5b are available from
ftp://ftp.kde.org/pub/kde/security_patches : 

aa3ac08a45851a1c33b2fcd435e1d514 post-3.0.5b-kdelibs-htmlframes.patch
dc4dfff2df75d19e527368f56dc92abb post-3.0.5b-kdebase-htmlframes.patch

Patches for KDE 3.1.5 are available from
ftp://ftp.kde.org/pub/kde/security_patches : 

e6cebe1f93f7497d720018362077dcf7 post-3.1.5-kdelibs-htmlframes.patch
caa562da0735deacba3ae9170f2bf18f post-3.1.5-kdebase-htmlframes.patch

Patches for KDE 3.2.3 are available from
ftp://ftp.kde.org/pub/kde/security_patches : 

8384f2785295be7082d9984ba8e175eb post-3.2.3-kdelibs-htmlframes.patch
a60fd1628607d4abdeb930662d126171 post-3.2.3-kdebase-htmlframes.patch


Ссылки: KDE Security Advisories: Temporary File and Konqueror Frame Injection Vulnerabilities
или введите имя

CAPTCHA