Risque
- Atteinte à la confidentialité des données ;
- atteinte à l'intégrité des données.
Systèmes affectés
Toutes les versions de KDE égales ou antérieures à la version 3.2.2.
Résumé
Une vulnérabilité est présente dans le traitement de certains liens (URL) réalisé par KDE.
Description
A l'aide de liens (URL) habilement constitués, il est possible de passer des arguments aux applications en charge du traitement de ces liens. Ainsi, en incitant l'utilisateur d'une plate-forme vulnérable à utiliser des liens astucieusement construits, un utilisateur mal intentionné peut modifier, créer des fichiers avec les droits de la victime sur le système cible.
Solution
- Avis de sécurité Mandrake MDKSA-2004:047 du 18 mai 2004 :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:047
- Avis de sécurité RedHat RHSA-2004:222 du 17 mai 2004 :
http://rhn.redhat.com/errata/RHSA-2004-222.html
- Avis de sécurité GLSA 200405-11 de Gentoo du 19 mai 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200405-11.xml
- Bulletin de sécurité SUSE SuSE-SA:2004:014 du 26 mai 2004 :
http://www.suse.com/de/security/2004_14_kdelibs.html
- Avis de sécurité Debian DSA-518 du 14 juin 2004 :
http://www.debian.org/security/2004/dsa-518
- Avis de sécurité FreeBSD du 18 mai 2004 :
http://www.vuxml.org/freebsd/
- Mise à jour de sécurité des paquetages NetBSD kdelibs2 et kdelibs3 :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/kdelibs2/README.html
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/kdelibs3/README.html
Documentation
- Avis de sécurité "URI handler vulnerabilities" de KDE :
http://www.kde.org/info/security/advisory-20040517-1.txt
- Référence CVE CAN-2004-0411 :
https://www.cve.org/CVERecord?id=CAN-2004-0411
