Vulnerability Bulletins |
Vulnerabilidad en el entorno de escritorio KDE |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | KDE =< 3.1.1 |
Description |
|
Se ha descubierto una vulnerabilidad en el entorno de escritorio KDE cuando éste procesa archivos PostScript o PDF. Este fallo permite a un usuario remoto ejecutar comandos arbitrarios en el ordenador de la víctima. Una atacante puede preparar un archivo PostScript o PDF malicioso que dará el acceso al sistema a dicho atacante con la cuenta de la víctima y con privilegios cuando la víctima abra el archivo para visualizarlo. KDE utiliza el software Ghostscript para procesar los archivos PostScript (PS) y PDF de una manera que permite la ejecución de comandos arbitrarios contenidos en estos archivos. | |
Solution |
|
Actualización de software: Descarguese las nuevas versiones (3.0.5b o 3.1.1a) disponibles en: http://download.kde.org/stable/3.0.5b/ http://download.kde.org/stable/3.1.1a/ El proveedor también ha sacado parches para las versiones 3.0.5a, 3.1.1 y 2.2.2: Para KDE 3.1.1: post-3.1.1-kdebase-thumbnail.diff post-3.1.1-kdegraphics-kdvi.diff post-3.1.1-kdegraphics-kghostview.diff post-3.1.1-kdelibs-kimgio.diff ftp://ftp.kde.org/pub/kde/security_patches Para KDE 3.0.5a: post-3.0.5a-kdebase-thumbnail.diff post-3.0.5a-kdegraphics-kdvi.diff post-3.0.5a-kdegraphics-kghostview.diff post-3.0.5a-kdelibs-kimgio.diff ftp://ftp.kde.org/pub/kde/security_patches Para KDE 2.2.2: post-2.2.2-kdebase-thumbnail.diff post-2.2.2-kdegraphics-kdvi.diff post-2.2.2-kdegraphics-kghostview-2.diff post-2.2.2-kdelibs-kimgio.diff ftp://ftp.kde.org/pub/kde/security_patches |
|
Standar resources |
|
Property | Value |
CVE | 2003-0204 |
BID | |
Other resources |
|
KDE Security Advisory:" PS/PDF file handling vulnerability" 9/4/2003 http://www.kde.org/info/security/advisory-20030409-1.txt |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2002-03-14 |