漏洞信息详情
Konqueror跨域Cookie注入漏洞
- CNNVD编号:CNNVD-200410-071
- 危害等级: 高危
- CVE编号: CVE-2004-0746
- 漏洞类型: 访问验证错误
- 发布时间: 2004-08-23
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: suse
- 漏洞来源: KDE
漏洞简介
KDE是一款免费开放源代码X桌面管理程序。 KDE Konqueror浏览器不正确处理COOKIE信息,远程攻击者可以利用这个漏洞注入恶意数据到COOKIE中。 在受影响域下操作的WEB站点可以设置HTTP COOKIE,使Konqueror Web浏览器可以发送COOKIE信息到操作在相同域中其他WEB站点上。恶意WEB站点可以利用这个漏洞进行类似会话定置的攻击( http://www.acros.si/papers/session_fixation.pdf )。 此漏洞影响所有域第二级字符超过2个字符的域名,如:.ltd.uk, .plc.uk和.firm.in。 必须注意的是流行的域名如.co.uk, .co.in和.com不受此漏洞影响。
漏洞公告
厂商补丁: KDE --- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Patches for KDE 3.0.5b:
ftp://ftp.kde.org/pub/kde/security_patches :
3d83e3235d608176f47d84abdf78e96e post-3.0.5b-kdelibs-kcookiejar.patch
Patches for KDE 3.1.5:
ftp://ftp.kde.org/pub/kde/security_patches :
eec46dc123742c23819bd4c396eb87b6 post-3.1.5-kdelibs-kcookiejar.patch
Patches for KDE 3.2.3:
ftp://ftp.kde.org/pub/kde/security_patches :
ca12b078c7288ce9b2653e639a5b3ee0 post-3.2.3-kdelibs-kcookiejar.patch
参考网址
来源: XF 名称: kde-konqueror-cookie-set(17063) 链接:http://xforce.iss.net/xforce/xfdb/17063 来源: BID 名称: 10991 链接:http://www.securityfocus.com/bid/10991 来源: BUGTRAQ 名称: 20040823 KDE Security Advisory: Konqueror Cross-Domain Cookie Injection 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109327681304401&w=2 来源: MANDRAKE 名称: MDKSA-2004:086 链接:http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:086 来源: www.kde.org 链接:http://www.kde.org/info/security/advisory-20040823-1.txt 来源: SECUNIA 名称: 12341 链接:http://secunia.com/advisories/12341 来源: OVAL 名称: oval:org.mitre.oval:def:11281 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:11281 来源: CONECTIVA 名称: CLA-2004:864 链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000864
受影响实体
- Suse Suse_linux:9.1
- Suse Suse_linux:9.0:X86_64
- Suse Suse_linux:9.0:Enterprise_server
- Suse Suse_linux:9.0
- Suse Suse_linux:8.2
补丁
暂无
评论