Vulnerability Bulletins |
Ejecución remota de código en KDE3 |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | KDE 3.1.0 - 3.1.4 |
Description |
|
|
Se ha descubierto una vulnerabilidad en el entorno gráfico KDE que afecta a las versiones 3.1.0 a 3.1.4 . Este fallo permitiría que un atacante remoto, enviando una vCard determinada, ejecutar acciones dañinas sobre el sistema o ganar acceso a información de otros usuarios. Contexto Técnico KDE ("K Desktop Environment") es un entorno gráfico para sistemas Unix/Linux . "kdepim" (KDE Personal Information Management) es una suite de información personal incluida en KDE. "VCF" (Virtual Card File) es el formato usado para las tarjetas electrónicas ("vCard"). Información Técnica La vulnerabilidad está provocada por un desbordamiento de búfer en el lector de la suite KDEPim, usado para editar archivos ".VCF" en el entorno gráfico KDE . Este fallo permitiría que un atacante remoto, enviando cierto contenido en una vCard, ejecutara código arbitrario al ser ésta abierta por la víctima. |
|
Solution |
|
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software KDE Descargue la versión 3.1.5 http://download.kde.org/stable/3.1.5/ Parches ftp://ftp.kde.org/pub/kde/security_patches/post-3.1.4-kdepim-kfile-plugins.diff Red Hat Linux Consulte el aviso emitido por el fabricante para obtener los parches Mandrake Linux Consulte el aviso emitido por el fabricante para obtener los parches |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2003-0988 |
| BID | |
Other resources |
|
|
KDE security advisory http://www.kde.org/info/security/advisory-20040114-1.txt Mandrake security advisory MDKSA-2004:003 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:003 RedHat security advisory RHSA-2004:006-04 https://rhn.redhat.com/errata/RHSA-2004-006.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-01-16 |