漏洞信息详情
KDE参数引用SHELL命令远程执行漏洞
- CNNVD编号:CNNVD-200301-035
- 危害等级: 高危
- CVE编号: CVE-2002-1393
- 漏洞类型: 设计错误
- 发布时间: 2002-12-23
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: kde
- 漏洞来源: KDE security advis...
漏洞简介
KDE是一款免费开放源代码X桌面管理程序,设计用于Unix和Linux操作系统。 KDE不安全处理某些类型输入,不正确引用命令参数传递给命令行SHELL,远程攻击者可以利用这个漏洞以用户进程权限执行任意指令。 在某些环境下,KDE不正确引用传递SHELL执行的命令参数,这些参数可以为一些混合数据,如URL,文件名和EMAIL地址,这些数据可以通过发送EMAIL给远程用户,利用WEB页面诱使用户打开或网络文件系统,不可信资源中的文件中传递。 通过精心构建这些数据,攻击者可以以目标用户权限在系统上执行任意命令。 KDE项目组目前没有发现任何相关此漏洞的利用代码。
漏洞公告
厂商补丁: KDE --- KDE已经为此发布了一个安全公告(KDE-20021220-1)以及相应补丁:
KDE-20021220-1:Multiple vulnerabilities in KDE
链接: http://www.kde.org/info/security/advisory-20021220-1.txt
针对KDE 3.0系统KDE建议用户升级KDE到3.0.5a版本:
http://download.kde.org/stable/3.0.5a/
针对KDE 2系统,请下载补丁程序,如果需要二进制程序请联系OS供应商:
ftp://ftp.kde.org/pub/kde/security_patches/
MD5SUM PATCH
522331e2b47f84956eb2df1fcf89ba17 post-2.2.2-kdebase.diff
0dbd747882b942465646efe0ba6af802 post-2.2.2-kdegames.diff
4b9c93acd452d1de2f4f0bca5b05593f post-2.2.2-kdegraphics.diff
93a12594d0fb48c7b50bfd4a10a9935d post-2.2.2-kdelibs.diff
d1d25b39ee98e340ac3730f7afe54f0c post-2.2.2-kdemultimedia.diff
59ac7be4995bed8b119a4e5882e54cff post-2.2.2-kdenetwork.diff
0a3ae9eeeceefb2f631a26ec787663a9 post-2.2.2-kdepim.diff
690c7fdab1bbc743eafac9b06997a03b post-2.2.2-kdesdk.diff
8174e328f47e18a8a52b13b34f5c54e5 post-2.2.2-kdeutils.diff
参考网址
来源: www.kde.org 链接:http://www.kde.org/info/security/advisory-20021220-1.txt 来源: DEBIAN 名称: DSA-243 链接:http://www.debian.org/security/2003/dsa-243 来源: BUGTRAQ 名称: 20021222 GLSA: kde-3.0.x 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104066520330397&w=2 来源: DEBIAN 名称: DSA-242 链接:http://www.debian.org/security/2003/dsa-242 来源: DEBIAN 名称: DSA-241 链接:http://www.debian.org/security/2003/dsa-241 来源: DEBIAN 名称: DSA-240 链接:http://www.debian.org/security/2003/dsa-240 来源: DEBIAN 名称: DSA-239 链接:http://www.debian.org/security/2003/dsa-239 来源: DEBIAN 名称: DSA-238 链接:http://www.debian.org/security/2003/dsa-238 来源: DEBIAN 名称: DSA-237 链接:http://www.debian.org/security/2003/dsa-237 来源: DEBIAN 名称: DSA-236 链接:http://www.debian.org/security/2003/dsa-236 来源: DEBIAN 名称: DSA-235 链接:http://www.debian.org/security/2003/dsa-235 来源: DEBIAN 名称: DSA-234 链接:http://www.debian.org/security/2003/dsa-234 来源: BID 名称: 6462 链接:http://www.securityfocus.com/bid/6462 来源: REDHAT 名称: RHSA-2003:003 链接:http://www.redhat.com/support/errata/RHSA-2003-003.HTML 来源: REDHAT 名称: RHSA-2003:002 链接:http://www.redhat.com/support/errata/RHSA-2003-002.HTML 来源: MANDRAKE 名称: MDKSA-2003:004 链接:http://www.mandriva.com/security/advisories?name=MDKSA-2003:004 来源: SECUNIA 名称: 8103 链接:http://secunia.com/advisories/8103 来源: SECUNIA 名称: 8067 链接:http://secunia.com/advisories/8067 来源: BUGTRAQ 名称: 20021221 KDE Security Advisory: Multiple vulnerabilities in KDE 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104049734911544&w=2 来源: CONECTIVA 名称: CLA-2003:569 链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000569
受影响实体
- Kde Kde:2.0
- Kde Kde:2.0.1
- Kde Kde:2.1
- Kde Kde:2.1.1
- Kde Kde:2.1.2
补丁
暂无
评论