Konqueror跨域Cookie注入漏洞

漏洞信息详情

Konqueror跨域Cookie注入漏洞

• CNNVD编号：CNNVD-200410-071
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-0746
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2004-08-23
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  suse
• 漏洞来源：
  KDE

KDE是一款免费开放源代码X桌面管理程序。
KDE Konqueror浏览器不正确处理COOKIE信息，远程攻击者可以利用这个漏洞注入恶意数据到COOKIE中。
在受影响域下操作的WEB站点可以设置HTTP COOKIE，使Konqueror Web浏览器可以发送COOKIE信息到操作在相同域中其他WEB站点上。恶意WEB站点可以利用这个漏洞进行类似会话定置的攻击( http：//www.acros.si/papers/session_fixation.pdf )。
此漏洞影响所有域第二级字符超过2个字符的域名，如：.ltd.uk， .plc.uk和.firm.in。
必须注意的是流行的域名如.co.uk， .co.in和.com不受此漏洞影响。

厂商补丁：
KDE
—
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Patches for KDE 3.0.5b：

ftp://ftp.kde.org/pub/kde/security_patches :

3d83e3235d608176f47d84abdf78e96e post-3.0.5b-kdelibs-kcookiejar.patch

Patches for KDE 3.1.5：

ftp://ftp.kde.org/pub/kde/security_patches :

eec46dc123742c23819bd4c396eb87b6 post-3.1.5-kdelibs-kcookiejar.patch

Patches for KDE 3.2.3：

ftp://ftp.kde.org/pub/kde/security_patches :

ca12b078c7288ce9b2653e639a5b3ee0 post-3.2.3-kdelibs-kcookiejar.patch

来源: XF
名称: kde-konqueror-cookie-set(17063)
链接:http://xforce.iss.net/xforce/xfdb/17063

来源: BID
名称: 10991
链接:http://www.securityfocus.com/bid/10991

来源: BUGTRAQ
名称: 20040823 KDE Security Advisory: Konqueror Cross-Domain Cookie Injection
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109327681304401&w=2

来源: MANDRAKE
名称: MDKSA-2004:086
链接:http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:086

来源: www.kde.org
链接:http://www.kde.org/info/security/advisory-20040823-1.txt

来源: SECUNIA
名称: 12341
链接:http://secunia.com/advisories/12341

来源: OVAL
名称: oval:org.mitre.oval:def:11281
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:11281

来源: CONECTIVA
名称: CLA-2004:864
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000864