S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 08 mars 2005
N° CERTA-2005-AVI-101
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de KDE

Gestion du document

Référence CERTA-2005-AVI-101
Titre Vulnérabilité de KDE
Date de la première version08 mars 2005
Date de la dernière version08 mars 2005
Source(s) Bulletin de sécurité Gento GLSA 200503-14 du 07 mars 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

Version antérieures à KDE 3.3.2-r5.

Résumé

Une vulnérabilité découverte dans KDE permet à un utilisateur mal intentionné d'élever localement ses privilèges.

Description

KDE est un environnement graphique utilisé sur les systèmes Unix et Linux.

Le script dcopidlng utilisé par KDE est vulnérable à une attaque qui permet l'écrasement de fichiers via le suivi des liens symboliques. A l'aide de liens habilement constitués, un utilisateur mal intentionné, ayant un accès local au système, peut forcer la modification de fichiers avec les droits de la victime.

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 08 mars 2005
    version initiale.