nixp.ru v3.0

3 октября 2024,
четверг,
16:20:40 MSK

9 декабря 2004, 18:42

Уязвимость в KDE 3.2.x, 3.3.x

Не успели разработчики выпустить KDE 3.3.2, как во всех релизах веток 3.2.x и 3.3.x (и к последнему это тоже относится), была обнаружена уязвимость при создании ссылок на удаленные файлы из приложений вроде Konqueror’а.

Результирующий URL может содержать аутентификационные данные, используемые для получения доступа к удаленному ресурсу. Это относится, в частности, к SMB (Samba). Создаваемый файл с ссылкой (с расширением .desktop) — обычный текстовый конфигурационный файл, на который устанавливаются права доступа по умолчанию (в зависимости от umask пользователя), так что, вероятно, с его помощью можно узнать пароль, хранящийся в указанном пользователем URL’е.

Патчи уже доступны на ftp.kde.org (файлы post-3.3.1-kdebase-smb.diff, post-3.3.1-kdelibs-khtml.diff, post-3.3.1-kdelibs-kio.diff, post-3.3.2-kdelibs-kio.diff, post-3.2.3-kdebase-smb.diff, post-3.2.3-kdelibs-khtml.diff, post-3.2.3-kdelibs-kio.diff для соответствующих релизов).

Постоянная ссылка к новости: http://www.nixp.ru/news/5054.html. Дмитрий Шурупов по материалам mail.kde.org.

fb twitter vk