Boletines de Vulnerabilidades |
Vulnerabilidad en el entorno de escritorio KDE |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | KDE =< 3.1.1 |
Descripción |
|
Se ha descubierto una vulnerabilidad en el entorno de escritorio KDE cuando éste procesa archivos PostScript o PDF. Este fallo permite a un usuario remoto ejecutar comandos arbitrarios en el ordenador de la víctima. Una atacante puede preparar un archivo PostScript o PDF malicioso que dará el acceso al sistema a dicho atacante con la cuenta de la víctima y con privilegios cuando la víctima abra el archivo para visualizarlo. KDE utiliza el software Ghostscript para procesar los archivos PostScript (PS) y PDF de una manera que permite la ejecución de comandos arbitrarios contenidos en estos archivos. | |
Solución |
|
Actualización de software: Descarguese las nuevas versiones (3.0.5b o 3.1.1a) disponibles en: http://download.kde.org/stable/3.0.5b/ http://download.kde.org/stable/3.1.1a/ El proveedor también ha sacado parches para las versiones 3.0.5a, 3.1.1 y 2.2.2: Para KDE 3.1.1: post-3.1.1-kdebase-thumbnail.diff post-3.1.1-kdegraphics-kdvi.diff post-3.1.1-kdegraphics-kghostview.diff post-3.1.1-kdelibs-kimgio.diff ftp://ftp.kde.org/pub/kde/security_patches Para KDE 3.0.5a: post-3.0.5a-kdebase-thumbnail.diff post-3.0.5a-kdegraphics-kdvi.diff post-3.0.5a-kdegraphics-kghostview.diff post-3.0.5a-kdelibs-kimgio.diff ftp://ftp.kde.org/pub/kde/security_patches Para KDE 2.2.2: post-2.2.2-kdebase-thumbnail.diff post-2.2.2-kdegraphics-kdvi.diff post-2.2.2-kdegraphics-kghostview-2.diff post-2.2.2-kdelibs-kimgio.diff ftp://ftp.kde.org/pub/kde/security_patches |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | 2003-0204 |
BID | |
Recursos adicionales |
|
KDE Security Advisory:" PS/PDF file handling vulnerability" 9/4/2003 http://www.kde.org/info/security/advisory-20030409-1.txt |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2002-03-14 |