KDE KDM会话Cookie生成漏洞

漏洞信息详情

KDE KDM会话Cookie生成漏洞

• CNNVD编号：CNNVD-200310-014
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2003-0692
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2003-09-17
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  kde
• 漏洞来源：
  KDE security advis…

KDE是一款免费开放源代码X桌面管理程序，设计用于Unix和Linux操作系统。
KDE Display Manager对生成会话COOKIE的算法不够强壮，远程攻击者可以利用这个漏洞对其他用户进行会话劫持。
由于KDE Display Manager (KDM)使用的生成会话COOKIE的算法存在问题，允许未授权用户通过暴力攻击猜测会话COOKIE，通过会话劫持，可绕过主机/IP限制，未授权访问系统。

厂商补丁：
KDE
—
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载相关补丁：

KDE 2.2.2

ftp://ftp.kde.org/pub/kde/security_patches :

4672868343b26e0c0eae91fffeff1f7e post-2.2.2-kdebase-kdm.patch

KDE 3.0.5b

ftp://ftp.kde.org/pub/kde/security_patches :

fde237203fc7b325c34d2f90a463db3f post-3.0.5-kdebase-kdm.patch

KDE 3.1.3

ftp://ftp.kde.org/pub/kde/security_patches :

8553c20798b321e333d8c516636f2297 post-3.1.3-kdebase-kdm.patch

或升级到KDE 3.1.4版本。

来源: REDHAT
名称: RHSA-2003:270
链接:http://www.redhat.com/support/errata/RHSA-2003-270.html

来源: www.kde.org
链接:http://www.kde.org/info/security/advisory-20030916-1.txt

来源: DEBIAN
名称: DSA-388
链接:http://www.debian.org/security/2003/dsa-388

来源: cert.uni-stuttgart.de
链接:http://cert.uni-stuttgart.de/archive/suse/security/2002/12/msg00101.html

来源: REDHAT
名称: RHSA-2003:288
链接:http://www.redhat.com/support/errata/RHSA-2003-288.html

来源: MANDRAKE
名称: MDKSA-2003:091
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2003:091

来源: BUGTRAQ
名称: 20030916 [KDE SECURITY ADVISORY] KDM vulnerabilities
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=106374551513499&w=2

来源: CONECTIVA
名称: CLA-2003:747
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000747

来源: US Government Resource: oval:org.mitre.oval:def:215
名称: oval:org.mitre.oval:def:215
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:215