漏洞信息详情
Red Hat PolicyKit和kauth 权限许可和访问控制漏洞
- CNNVD编号:CNNVD-201407-537
- 危害等级: 中危
- CVE编号: CVE-2014-5033
- 漏洞类型: 竞争条件
- 发布时间: 2014-07-23
- 威胁类型: 本地
- 更新时间: 2014-08-20
- 厂 商: kde
- 漏洞来源: Sebastian Krahmer
漏洞简介
KDE KDELibs和kauth都是KDE社区的产品。KDELibs是一个创建在Qt框架之上用于开发KDE软件的KDE API参考库;kauth是一个跨平台的认证API。
KDE kdelibs 4.14之前版本和kauth 5.1版本中存在安全漏洞,该漏洞源于程序以不安全的方式使用polkit。本地攻击者可通过PolkitUnixProcess PolkitSubject竞争条件利用该漏洞绕过既定的访问限制。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.kde.org/info/security/advisory-20140730-1.txt
参考网址
来源:quickgit.kde.org
链接:http://quickgit.kde.org/?p=kauth.git&a=commit&h=341b7d84b6d9c03cf56905cb277b47e11c81482a
来源:DEBIAN
链接:http://www.debian.org/security/2014/dsa-3004
来源:SECUNIA
链接:http://secunia.com/advisories/60633
来源:SECUNIA
链接:http://secunia.com/advisories/60385
来源:SECUNIA
链接:http://secunia.com/advisories/60654
来源:www.kde.org
链接:http://www.kde.org/info/security/advisory-20140730-1.txt
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2014-08/msg00012.HTML
来源:quickgit.kde.org
链接:http://quickgit.kde.org/?p=kdelibs.git&a=commitdiff&h=e4e7b53b71e2659adaf52691d4accc3594203b23
来源:UBUNTU
链接:http://www.ubuntu.com/usn/USN-2304-1
来源:SECUNIA
链接:http://secunia.com/advisories/60385
来源:SECUNIA
链接:http://secunia.com/advisories/60633
来源:SECUNIA
链接:http://secunia.com/advisories/60654
来源: BID
链接:http://www.securityfocus.com/bid/68771
受影响实体
- Kde Kdelibs:4.10.2
- Kde Kdelibs:4.10.3
- Kde Kdelibs:4.10.95
- Kde Kdelibs:4.10.97
- Kde Kdelibs:4.11.0
补丁
- kdelibs-4.14.0
评论