Vulnérabilité de KDE

Gestion du document

Référence	CERTA-2004-AVI-406
Titre	Vulnérabilité de KDE
Date de la première version	20 décembre 2004
Date de la dernière version	20 décembre 2004
Source(s)	Bulletin de sécurité KDE du 12 décembre 2004
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Atteinte à la confidentialité des données

Systèmes affectés

KDE 3.3.2 et versions antérieures.

Description

KDE est un environnement graphique utilisé sur les systèmes Unix et Linux.

Lors de la création de liens vers des fichiers distants, un partage SAMBA par exemple, les données d'authentification de l'utilisateur sont stockées en clair dans un fichier portant une extention ".desktop".

Si les droits d'accès par défaut aux fichiers de l'utilisateur ne sont pas correctement positionnés (umask), il est alors possible pour un utilisateur local au système de prendre connaissance des mots-de-passe de l'utilisateur.

Solution

Se référer au bulletin de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.

Documentation

Bulletin de sécurité Gentoo GLSA-200412-16 du 19 décembre 2004 :

http://www.gentoo.org/security/en/glsa/glsa-200412-16.xml

Bulletin de sécurité KDE du 09 décembre 2004 :

http://www.kde.org/info/security/advisory-20041209-1.txt

Bulletin de sécurité Mandrake MDKSA-2004:150 du 15 décembre 2004 ;

http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:150

Avis du CERT-FR