Risque
- Exécution de commandes arbitraires à distance
Systèmes affectés
KDE versions 2.x et 3.x jusqu'aux versions 3.0.4 et 3.1rc3 incluses.
Résumé
Une vulnérabilité de la librairie KIO permet à un utilisateur mal intentionné d'exécuter des commandes arbitraires.
Description
K Desktop Environnement (KDE) fournit une interface pour différents protocoles réseau (HTTP, FTP, POP, SMB,...) via le système KDE Input Output (KIO).
Ce système définit les caractéristiques des protocoles dans des fichiers texte dont l'extension est .protocol.
Deux protocoles présentent une vulnérabilité :
- rlogin pour toutes les versions de KDE de 2.1 à 3.0.4 ;
- telnet pour les versions de KDE 2.x.
Ces vulnérabilités permettent à un utilisateur mal intentionné d'exécuter des commandes arbitraires. Ces commandes peuvent être transmises par une URL habilement construite, un mél au format HTML, ou par toute application utilisant KIO.
Les commandes seront exécutées avec les privilèges de la victime.
Contournement provisoire
Pour désactiver ces deux protocoles, il suffit de détruire les fichiers .protocol correspondants : telnet.protocol et rlogin.protocol.
Ces fichiers sont normalement installés dans le répertoire /[kdeprefix]/shared/services/, où [kdeprefix] désigne le répertoire d'installation de KDE.
Des copies de ces fichiers peuvent exister ailleurs, notamment dans le répertoire .kde/shared/services des utilisateurs. Il faut également détruire ces copies.
Solution
La version 3.0.5 corrige la vulnérabilité.
Vous pouvez appliquer un correctif pour la version 3.0.4 (cf. section Documentation). Pour les autres versions, il est recommandé de mettre à jour à la version 3.0.5.
Documentation
- Avis de sécurité KDE http://www.kde.org/info/security/advisory-20021111-1.txt