GLSA 200311-01: kdebase: KDM vulnerabilities
| Опасность: | средняя |
| Заголовок: | kdebase: KDM vulnerabilities |
| Дата: | 15.11.2003 |
| Ошибки: | |
| ID: | 200311-01 |
Сводка
A bug in KDM can allow privilege escalation with certain configurations of PAM modules.Назначение
KDM is the desktop manager included with the K Desktop Environment.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| kde-base/kdebase | <= 3.1.3 | >= 3.1.4 | All supported architectures |
Описание
Firstly, versions of KDM <=3.1.3 are vulnerable to a privilege escalation bug with a specific configuration of PAM modules. Users who do not use PAM with KDM and users who use PAM with regular Unix crypt/MD5 based authentication methods are not affected.
Secondly, KDM uses a weak cookie generation algorithm. Users are advised to upgrade to KDE 3.1.4, which uses /dev/urandom as a non-predictable source of entropy to improve security.
Воздействие
A remote or local attacker could gain root privileges.
Обход
There is no known workaround at this time.
Решение
It is recommended that all Gentoo Linux users who are running kde-base/kdebase <=3.1.3 upgrade:
# emerge sync
# emerge -pv '>=kde-base/kde-3.1.4'
# emerge '>=kde-base/kde-3.1.4'
# emerge clean
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.