Risques
- Divulgation de données
- Vol de session
Systèmes affectés
Tout système utilisant KDE dans une version antérieure à la 3.1.3.
Résumé
Une vulnérabilité dans la gestion des cookies permet à un utilisateur mal intentionné d'accéder à certains d'entre eux sans en avoir les droits.
Description
KDE est un environnement graphique pour système Unix, incluant en particulier un navigateur, Konqueror.
Une faille existe au sein des bibliothèques de KDE dans la gestion des cookies.
Un cookie peut comporter un champ qui restreint l'accès au cookie à une sous-arborescence spécifiée d'un site. Hors cette restriction peut être contournée. Lorsque le cookie est utilisé pour l'authentification, un utilisateur mal intentionné, contrôlant des pages sur le même serveur que la zone protégée, peut dérober cet authentifiant à l'aide d'une page HTML habilement construite. Cette faille peut également affecter les clients de messagerie KDE capables d'afficher du HTML.
Solution
Mettre à jour KDE en version 3.1.3.
-
Red Hat Linux 9 :
https://rhn.redhat.com/errata/RHSA-2004-075.html
-
Linux Mandrake 9.1 :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:022
-
Debian Linux 3.0 :
http://www.debian.org/security/2004/dsa-459
Documentation
- Avis de sécurité de la société Corsaire : http://www.corsaire.com/advisories/c030712-001.txt