Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
Toutes les versions de KDE égales ou antérieures à la version 3.2.2.
Résumé
Une vulnérabilité est présente dans le traitement de certains liens (URL) réalisé par KDE.
Description
A l'aide de liens (URL) habilement constitués, il est possible de passer des arguments aux applications en charge du traitement de ces liens. Ainsi, en incitant l'utilisateur d'une plate-forme vulnérable à utiliser des liens astucieusement construits, un utilisateur mal intentionné peut modifier, créer des fichiers avec les droits de la victime sur le système cible.
Solution
-
Avis de sécurité Mandrake MDKSA-2004:047 du 18 mai 2004 :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:047 -
Avis de sécurité RedHat RHSA-2004:222 du 17 mai 2004 :
http://rhn.redhat.com/errata/RHSA-2004-222.html -
Avis de sécurité GLSA 200405-11 de Gentoo du 19 mai 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200405-11.xml -
Bulletin de sécurité SUSE SuSE-SA:2004:014 du 26 mai 2004 :
http://www.suse.com/de/security/2004_14_kdelibs.html -
Avis de sécurité Debian DSA-518 du 14 juin 2004 :
http://www.debian.org/security/2004/dsa-518 -
Avis de sécurité FreeBSD du 18 mai 2004 :
http://www.vuxml.org/freebsd/ -
Mise à jour de sécurité des paquetages NetBSD kdelibs2 et kdelibs3 :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/kdelibs2/README.html ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/kdelibs3/README.html
Documentation
- Avis de sécurité "URI handler vulnerabilities" de KDE : http://www.kde.org/info/security/advisory-20040517-1.txt
