Risque

Exécution de commandes arbitraires à distance.

Systèmes affectés

KDE versions 2.x et 3.x jusqu'aux versions 3.0.4 et 3.1rc3 incluses.

Résumé

Une vulnérabilité de la librairie KIO permet à un utilisateur mal intentionné d'exécuter des commandes arbitraires.

Description

K Desktop Environnement (KDE) fournit une interface pour différents protocoles réseau (HTTP, FTP, POP, SMB,...) via le système KDE Input Output (KIO).

Ce système définit les caractéristiques des protocoles dans des fichiers texte dont l'extension est .protocol.

Deux protocoles présentent une vulnérabilité :

  • rlogin pour toutes les versions de KDE de 2.1 à 3.0.4 ;
  • telnet pour les versions de KDE 2.x.

Ces vulnérabilités permettent à un utilisateur mal intentionné d'exécuter des commandes arbitraires. Ces commandes peuvent être transmises par une URL habilement construite, un mél au format HTML, ou par toute application utilisant KIO.

Les commandes seront exécutées avec les privilèges de la victime.

Contournement provisoire

Pour désactiver ces deux protocoles, il suffit de détruire les fichiers .protocol correspondants : telnet.protocol et rlogin.protocol.

Ces fichiers sont normalement installés dans le répertoire /[kdeprefix]/shared/services/, où [kdeprefix] désigne le répertoire d'installation de KDE.

Des copies de ces fichiers peuvent exister ailleurs, notamment dans le répertoire .kde/shared/services des utilisateurs. Il faut également détruire ces copies.

Solution

La version 3.0.5 corrige la vulnérabilité.

Vous pouvez appliquer un correctif pour la version 3.0.4 (cf. section Documentation). Pour les autres versions, il est recommandé de mettre à jour à la version 3.0.5.

Documentation

Avis de sécurité KDE :

http://www.kde.org/info/security/advisory-20021111-1.txt

Avis de sécurité Mandrake MDKSA-2002:079 :

http://www.mandrakesecure.net/en/advisories/

Correctif pour la version 3.0.4 de KDE :

ftp://ftp.kde.org/pub/kde/security_patches/

Avis de sécurité Debian DSA-204-1 :

http://www.debian.org/security/2002/dsa-204