Boletines de Vulnerabilidades |
Ejecución remota de código en KDE3 |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | GNU/Linux |
| Software afectado | KDE 3.1.0 - 3.1.4 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en el entorno gráfico KDE que afecta a las versiones 3.1.0 a 3.1.4 . Este fallo permitiría que un atacante remoto, enviando una vCard determinada, ejecutar acciones dañinas sobre el sistema o ganar acceso a información de otros usuarios. Contexto Técnico KDE ("K Desktop Environment") es un entorno gráfico para sistemas Unix/Linux . "kdepim" (KDE Personal Information Management) es una suite de información personal incluida en KDE. "VCF" (Virtual Card File) es el formato usado para las tarjetas electrónicas ("vCard"). Información Técnica La vulnerabilidad está provocada por un desbordamiento de búfer en el lector de la suite KDEPim, usado para editar archivos ".VCF" en el entorno gráfico KDE . Este fallo permitiría que un atacante remoto, enviando cierto contenido en una vCard, ejecutara código arbitrario al ser ésta abierta por la víctima. |
|
Solución |
|
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software KDE Descargue la versión 3.1.5 http://download.kde.org/stable/3.1.5/ Parches ftp://ftp.kde.org/pub/kde/security_patches/post-3.1.4-kdepim-kfile-plugins.diff Red Hat Linux Consulte el aviso emitido por el fabricante para obtener los parches Mandrake Linux Consulte el aviso emitido por el fabricante para obtener los parches |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CAN-2003-0988 |
| BID | |
Recursos adicionales |
|
|
KDE security advisory http://www.kde.org/info/security/advisory-20040114-1.txt Mandrake security advisory MDKSA-2004:003 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:003 RedHat security advisory RHSA-2004:006-04 https://rhn.redhat.com/errata/RHSA-2004-006.html |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2004-01-16 |