GLSA 200412-16: kdelibs, kdebase: Multiple vulnerabilities
| Опасность: | средняя |
| Заголовок: | kdelibs, kdebase: Multiple vulnerabilities |
| Дата: | 19.12.2004 |
| Ошибки: | , |
| ID: | 200412-16 |
Сводка
kdelibs and kdebase contain a flaw allowing password disclosure when creating a link to a remote file. Furthermore Konqueror is vulnerable to window injection.Назначение
KDE is a feature-rich graphical desktop environment for Linux and Unix-like Operating Systems. The KDE core libraries (kdebase and kdelibs) provide native support for many protocols. Konqueror is the KDE web browser and filemanager.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| kde-base/kdelibs | < 3.3.2-r1 | >= 3.2.3-r4 | All supported architectures |
| kde-base/kdebase | < 3.3.2-r1 | >= 3.2.3-r3 | All supported architectures |
Описание
Daniel Fabian discovered that the KDE core libraries contain a flaw allowing password disclosure by making a link to a remote file. When creating this link, the resulting URL contains authentication credentials used to access the remote file (CAN 2004-1171).
The Konqueror webbrowser allows websites to load webpages into a window or tab currently used by another website (CAN-2004-1158).
Воздействие
A malicious user could have access to the authentication credentials of other users depending on the file permissions.
A malicious website could use the window injection vulnerability to load content in a window apparently belonging to another website.
Обход
There is no known workaround at this time.
Решение
All kdelibs users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=kde-base/kdelibs-3.2.3-r4"
All kdebase users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=kde-base/kdebase-3.2.3-r3"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.