Risques
- Injection de code indirecte à distance
- Man-in-the-middle
Systèmes affectés
- Ubuntu 10.04 LTS ;
- Ubuntu 10.10 ;
- Ubuntu 9.10.
Résumé
Plusieurs vulnérabilités permettant une injection de code indirecte à distance ainsi qu'une attaque de type man-in-the-middle ont été découvertes dans kde4libs.
Description
Deux vulnérabilités ont été découvertes dans kde4libs.
La première (CVE-2011-1094) permet à une personne malintentionnée d'effectuer une attaque de type man-in-the-middle. Cette faille provient d'une mauvaise gestion des certificats SSL par le module KDE KSSL, lorsque que ces derniers ont été émis pour une adresse IP.
La seconde (CVE-2011-1168) permet d'injecter indirectement du code à distance. Le module KDE KHTML ne protège pas correctement les urls lors de la génération de pages d'erreur, autorisant ainsi un attaquant à injecter indirectement du code via une url spécialement conçue.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ubuntu USN-1110-1 http://www.ubuntulinux.org/usn/usn-1110-1
- Référence CVE CVE-2011-1094 https://www.cve.org/CVERecord?id=CVE-2011-1094
- Référence CVE CVE-2011-1168 https://www.cve.org/CVERecord?id=CVE-2011-1168
