Новость: Уязвимость в KDE 3.2.x, 3.3.x
(Категория: KDE)
Добавил Roman I Khimov
Четверг, 09 Декабрь 2004, 19:24
Не успели разработчики выпустить KDE 3.3.2, как во всех релизах веток 3.2.x и 3.3.x (и к последнему это тоже относится), была обнаружена уязвимость при создании ссылок на удаленные файлы из приложений вроде Konqueror'а.
Результирующий URL может содержать аутентификационные данные, используемые для получения доступа к удаленному ресурсу. Это относится, в частности, к SMB (Samba). Создаваемый файл с ссылкой (с расширением .desktop) — обычный текстовый конфигурационный файл, на который устанавливаются права доступа по умолчанию (в зависимости от umask пользователя), так что, вероятно, с его помощью можно узнать пароль, хранящийся в указанном пользователем URL'е.
Патчи уже доступны на ftp.kde.org (файлы post-3.3.1-kdebase-smb.diff, post-3.3.1-kdelibs-khtml.diff, post-3.3.1-kdelibs-kio.diff, post-3.3.2-kdelibs-kio.diff, post-3.2.3-kdebase-smb.diff, post-3.2.3-kdelibs-khtml.diff, post-3.2.3-kdelibs-kio.diff для соответствующих релизов).
Источник этой новости Центр информации по операционным системам
( http://www.osrc.info/news.php?extend.1449 )
(Категория: KDE)
Добавил Roman I Khimov
Четверг, 09 Декабрь 2004, 19:24
Не успели разработчики выпустить KDE 3.3.2, как во всех релизах веток 3.2.x и 3.3.x (и к последнему это тоже относится), была обнаружена уязвимость при создании ссылок на удаленные файлы из приложений вроде Konqueror'а.
Результирующий URL может содержать аутентификационные данные, используемые для получения доступа к удаленному ресурсу. Это относится, в частности, к SMB (Samba). Создаваемый файл с ссылкой (с расширением .desktop) — обычный текстовый конфигурационный файл, на который устанавливаются права доступа по умолчанию (в зависимости от umask пользователя), так что, вероятно, с его помощью можно узнать пароль, хранящийся в указанном пользователем URL'е.
Патчи уже доступны на ftp.kde.org (файлы post-3.3.1-kdebase-smb.diff, post-3.3.1-kdelibs-khtml.diff, post-3.3.1-kdelibs-kio.diff, post-3.3.2-kdelibs-kio.diff, post-3.2.3-kdebase-smb.diff, post-3.2.3-kdelibs-khtml.diff, post-3.2.3-kdelibs-kio.diff для соответствующих релизов).
По материалам nixp.ru
Источник этой новости Центр информации по операционным системам
( http://www.osrc.info/news.php?extend.1449 )