Risque
Exécution de commandes arbitraires à distance.
Systèmes affectés
KDE versions 2.x et 3.x jusqu'aux versions 3.0.4 et 3.1rc3 incluses.
Résumé
Une vulnérabilité de la librairie KIO permet à un utilisateur mal intentionné d'exécuter des commandes arbitraires.
Description
K Desktop Environnement (KDE) fournit une interface pour différents protocoles réseau (HTTP, FTP, POP, SMB,...) via le système KDE Input Output (KIO).
Ce système définit les caractéristiques des protocoles dans des fichiers texte dont l'extension est .protocol.
Deux protocoles présentent une vulnérabilité :
- rlogin pour toutes les versions de KDE de 2.1 à 3.0.4 ;
- telnet pour les versions de KDE 2.x.
Ces vulnérabilités permettent à un utilisateur mal intentionné d'exécuter des commandes arbitraires. Ces commandes peuvent être transmises par une URL habilement construite, un mél au format HTML, ou par toute application utilisant KIO.
Les commandes seront exécutées avec les privilèges de la victime.
Contournement provisoire
Pour désactiver ces deux protocoles, il suffit de détruire les fichiers .protocol correspondants : telnet.protocol et rlogin.protocol.
Ces fichiers sont normalement installés dans le répertoire /[kdeprefix]/shared/services/, où [kdeprefix] désigne le répertoire d'installation de KDE.
Des copies de ces fichiers peuvent exister ailleurs, notamment dans le répertoire .kde/shared/services des utilisateurs. Il faut également détruire ces copies.
Solution
La version 3.0.5 corrige la vulnérabilité.
Vous pouvez appliquer un correctif pour la version 3.0.4 (cf. section Documentation). Pour les autres versions, il est recommandé de mettre à jour à la version 3.0.5.
Documentation
Avis de sécurité KDE :
http://www.kde.org/info/security/advisory-20021111-1.txt
Avis de sécurité Mandrake MDKSA-2002:079 :
http://www.mandrakesecure.net/en/advisories/
Correctif pour la version 3.0.4 de KDE :
ftp://ftp.kde.org/pub/kde/security_patches/
Avis de sécurité Debian DSA-204-1 :
http://www.debian.org/security/2002/dsa-204