KDE KIO子系统网络协议实现任意命令可执行漏洞发布时间:2002-11-22 更新时间:2002-11-22 严重程度:高 威胁程度:远程管理员权限 错误类型:输入验证错误 利用方式:客户机模式 BUGTRAQ ID:6182 受影响系统 KDE KDE 2.1详细描述 KDE是UNIX图形桌面环境,KDE使用KIO子系统支持多个网络协议实现。KDE's KIO子系统的telnet和rlogin协议实现存在漏洞,可远程执行任意命令。 这些协议通过包含.protocol扩展名的文本文件实现,一般存在在shared/services/子目录下。 攻击者可以使用特殊构建的URL来使KIO使能的应用程序执行任意命令。命令将于用户帐户执行。攻击者可以利用特殊WEB页面或者HTML形式邮件。 测试代码 无 解决方案 删除任何'rlogin.protocol', 'telnet.protocol' 文件。 补丁下载: KDE KDE 2.1: KDE KDE 2.1.1: KDE KDE 2.1.2: KDE KDE 2.2: KDE KDE 2.2.1: KDE KDE 2.2.2: KDE KDE 3.0: KDE Upgrade KDE 3.0.5 http://download.kde.org/stable/3.0.5/ KDE Patch post-3.0.4-kdelibs-kio-misc.diff ftp://ftp.kde.org/pub/kde/security_patches/post-3.0.4-kdelibs-kio-misc.diff KDE KDE 3.0.1: KDE Upgrade KDE 3.0.5 http://download.kde.org/stable/3.0.5/ KDE Patch post-3.0.4-kdelibs-kio-misc.diff ftp://ftp.kde.org/pub/kde/security_patches/post-3.0.4-kdelibs-kio-misc.diff KDE KDE 3.0.2: KDE Upgrade KDE 3.0.5 http://download.kde.org/stable/3.0.5/ KDE Patch post-3.0.4-kdelibs-kio-misc.diff ftp://ftp.kde.org/pub/kde/security_patches/post-3.0.4-kdelibs-kio-misc.diff KDE KDE 3.0.3: KDE Upgrade KDE 3.0.5 http://download.kde.org/stable/3.0.5/ KDE Patch post-3.0.4-kdelibs-kio-misc.diff ftp://ftp.kde.org/pub/kde/security_patches/post-3.0.4-kdelibs-kio-misc.diff KDE KDE 3.0.4: KDE Upgrade KDE 3.0.5 http://download.kde.org/stable/3.0.5/ KDE Patch post-3.0.4-kdelibs-kio-misc.diff ftp://ftp.kde.org/pub/kde/security_patches/post-3.0.4-kdelibs-kio-misc.diff 相关信息 参考:http://online.securityfocus.com/advisories/4677 http://online.securityfocus.com/archive/1/299498 相关主页:http://www.kde.org/ |
