漏洞信息详情

KDE Software Compilation (SC) KDM脚本backend/ctrl.c存在竞争条件漏洞

• CNNVD编号：CNNVD-201004-283
• 危害等级： 中危
  
• CVE编号： CVE-2010-0436
• 漏洞类型： 竞争条件
• 发布时间： 2010-04-15
• 威胁类型： 本地
• 更新时间： 2010-04-15
• 厂        商： kde
• 漏洞来源： Sebastian Krahmer

漏洞简介

KDE是一个为UNIX工作站设计的强大的开源图形桌面环境。

KDE Software Compilation (SC) 2.2.0到4.4.2中KDM backend/ctrl.c存在竞争条件漏洞。本地用户可以阻止删除含有控制套接字的特定目录，从而修改任意文件的权限，并获取特权，该漏洞与同ksm之间的不恰当交互相关。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

MandrakeSoft Linux Mandrake 2008.0 x86_64

Mandriva kdebase-common-3.5.10-0.4mdv2008.0.x86_64.rpm

http://www.mandriva.com/en/download/

Mandriva lib64kdebase4-3.5.10-0.4mdv2008.0.x86_64.rpm

http://www.mandriva.com/en/download/

Mandriva kdebase-konsole-3.5.10-0.4mdv2008.0.x86_64.rpm

http://www.mandriva.com/en/download/

Mandriva kdebase-kdeprintfax-3.5.10-0.4mdv2008.0.x86_64.rpm

http://www.mandriva.com/en/download/

Mandriva kdebase-progs-3.5.10-0.4mdv2008.0.x86_64.rpm

http://www.mandriva.com/en/download/

Mandriva kdebase-devel-doc-3.5.10-0.4mdv2008.0.x86_64.rpm

http://www.mandriva.com/en/download/

Mandriva kdebase-session-plugins-3.5.10-0.4mdv2008.0.x86_64.rpm

http://www.mandriva.com/en/download/

参考网址

来源: VUPEN

名称: ADV-2010-0879

链接:http://www.vupen.com/english/advisories/2010/0879

来源: ftp.kde.org

链接:ftp://ftp.kde.org/pub/kde/security_patches/kdebase-workspace-4.3.5-CVE-2010-0436.diff

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=570613

来源: BID

名称: 39467

链接:http://www.securityfocus.com/bid/39467

来源: www.kde.org

链接:http://www.kde.org/info/security/advisory-20100413-1.txt

来源: SECUNIA

名称: 39419

链接:http://secunia.com/advisories/39419

来源: REDHAT

名称: RHSA-2010:0348

链接:http://rhn.redhat.com/errata/RHSA-2010-0348.HTML

受影响实体

• Kde Kde_sc:4.4.0  
• Kde Kde_sc:4.4.2  
• Kde Kde_sc:4.4.1  
• Kde Kde_sc:4.3.5  
• Kde Kde_sc:2.2.0  

补丁

• kdebase-workspace-4.3.5-CVE-2010-0436