KDE参数引用SHELL命令远程执行漏洞

漏洞信息详情

KDE参数引用SHELL命令远程执行漏洞

• CNNVD编号：CNNVD-200301-035
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-1393
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-12-23
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  kde
• 漏洞来源：
  KDE security advis…

KDE是一款免费开放源代码X桌面管理程序，设计用于Unix和Linux操作系统。
KDE不安全处理某些类型输入，不正确引用命令参数传递给命令行SHELL，远程攻击者可以利用这个漏洞以用户进程权限执行任意指令。
在某些环境下，KDE不正确引用传递SHELL执行的命令参数，这些参数可以为一些混合数据，如URL，文件名和EMAIL地址，这些数据可以通过发送EMAIL给远程用户，利用WEB页面诱使用户打开或网络文件系统，不可信资源中的文件中传递。
通过精心构建这些数据，攻击者可以以目标用户权限在系统上执行任意命令。
KDE项目组目前没有发现任何相关此漏洞的利用代码。

厂商补丁：
KDE
—
KDE已经为此发布了一个安全公告(KDE-20021220-1)以及相应补丁:

KDE-20021220-1：Multiple vulnerabilities in KDE

链接：http://www.kde.org/info/security/advisory-20021220-1.txt” target=”_blank”>
http://www.kde.org/info/security/advisory-20021220-1.txt

针对KDE 3.0系统KDE建议用户升级KDE到3.0.5a版本：

http://download.kde.org/stable/3.0.5a/” target=”_blank”>
http://download.kde.org/stable/3.0.5a/

针对KDE 2系统，请下载补丁程序，如果需要二进制程序请联系OS供应商：

ftp://ftp.kde.org/pub/kde/security_patches/

MD5SUM PATCH

522331e2b47f84956eb2df1fcf89ba17 post-2.2.2-kdebase.diff

0dbd747882b942465646efe0ba6af802 post-2.2.2-kdegames.diff

4b9c93acd452d1de2f4f0bca5b05593f post-2.2.2-kdegraphics.diff

93a12594d0fb48c7b50bfd4a10a9935d post-2.2.2-kdelibs.diff

d1d25b39ee98e340ac3730f7afe54f0c post-2.2.2-kdemultimedia.diff

59ac7be4995bed8b119a4e5882e54cff post-2.2.2-kdenetwork.diff

0a3ae9eeeceefb2f631a26ec787663a9 post-2.2.2-kdepim.diff

690c7fdab1bbc743eafac9b06997a03b post-2.2.2-kdesdk.diff

8174e328f47e18a8a52b13b34f5c54e5 post-2.2.2-kdeutils.diff

来源: www.kde.org
链接:http://www.kde.org/info/security/advisory-20021220-1.txt

来源: DEBIAN
名称: DSA-243
链接:http://www.debian.org/security/2003/dsa-243

来源: BUGTRAQ
名称: 20021222 GLSA: kde-3.0.x
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104066520330397&w=2

来源: DEBIAN
名称: DSA-242
链接:http://www.debian.org/security/2003/dsa-242

来源: DEBIAN
名称: DSA-241
链接:http://www.debian.org/security/2003/dsa-241

来源: DEBIAN
名称: DSA-240
链接:http://www.debian.org/security/2003/dsa-240

来源: DEBIAN
名称: DSA-239
链接:http://www.debian.org/security/2003/dsa-239

来源: DEBIAN
名称: DSA-238
链接:http://www.debian.org/security/2003/dsa-238

来源: DEBIAN
名称: DSA-237
链接:http://www.debian.org/security/2003/dsa-237

来源: DEBIAN
名称: DSA-236
链接:http://www.debian.org/security/2003/dsa-236

来源: DEBIAN
名称: DSA-235
链接:http://www.debian.org/security/2003/dsa-235

来源: DEBIAN
名称: DSA-234
链接:http://www.debian.org/security/2003/dsa-234

来源: BID
名称: 6462
链接:http://www.securityfocus.com/bid/6462

来源: REDHAT
名称: RHSA-2003:003
链接:http://www.redhat.com/support/errata/RHSA-2003-003.html

来源: REDHAT
名称: RHSA-2003:002
链接:http://www.redhat.com/support/errata/RHSA-2003-002.html

来源: MANDRAKE
名称: MDKSA-2003:004
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2003:004

来源: SECUNIA
名称: 8103
链接:http://secunia.com/advisories/8103

来源: SECUNIA
名称: 8067
链接:http://secunia.com/advisories/8067

来源: BUGTRAQ
名称: 20021221 KDE Security Advisory: Multiple vulnerabilities in KDE
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104049734911544&w=2

来源: CONECTIVA
名称: CLA-2003:569
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000569