KDE Kopete GPG插件远程命令执行漏洞

漏洞信息详情

KDE Kopete GPG插件远程命令执行漏洞

• CNNVD编号：CNNVD-200305-062
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2003-0256
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-05-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  kde
• 漏洞来源：
  Mandrake Linux Sec…

kopete是一款KDE即时消息客户端，可使用GnuPG插件预先给用户发送GPG加密信息。
kopete没有正确过滤远程用户的输入，远程攻击者可以利用这个漏洞以kopete进程权限在系统上执行任意命令。
插件传递加密消息给GPG时，没有对传递的命令行进行充分过滤，构建恶意消息可能以kopete进程权限在系统上执行任意命令。目前没有提供详细漏洞细节。

厂商补丁：
MandrakeSoft
————
MandrakeSoft已经为此发布了一个安全公告(MDKSA-2003:055)以及相应补丁:

MDKSA-2003:055：Updated kopete packages fix vulnerability with GnuPG plugin

链接：http://www.linux-mandrake.com/en/security/2003/2003-055.php” target=”_blank”>
http://www.linux-mandrake.com/en/security/2003/2003-055.php

补丁下载：

Updated Packages:

Mandrake Linux 9.1:

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/RPMS/kopete-0.6.2-1.1mdk.i586.rpm

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/RPMS/libkopete1-0.6.2-1.1mdk.i586.rpm

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/SRPMS/kopete-0.6.2-1.1mdk.src.rpm

Mandrake Linux 9.1/PPC:

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/RPMS/kopete-0.6.2-1.1mdk.ppc.rpm

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/RPMS/libkopete1-0.6.2-1.1mdk.ppc.rpm

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/SRPMS/kopete-0.6.2-1.1mdk.src.rpm

上述升级软件还可以在下列地址中的任意一个镜像ftp服务器上下载：

http://www.mandrakesecure.net/en/ftp.php” target=”_blank”>
http://www.mandrakesecure.net/en/ftp.php

来源: MANDRAKE
名称: MDKSA-2003:055
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2003:055

来源: kopete.kde.org
链接:http://kopete.kde.org/index.php?page=newsstory&news=Kopete_releases_version_0.6.2

来源: CONECTIVA
名称: CLA-2003:665
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000665