[LUG.ro] Vulnerabilidades en KDE

Sebastián D. Criado lugro@lugro.org.ar
Wed, 14 May 2003 14:27:55 -0300 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


 Red Hat ha actualizado su paquete KDE, que resuelve dos fallas presentes
en el mismo.

Están afectadas las siguientes versiones:

    * Red Hat Linux 7.1 - i386, noarch
    * Red Hat Linux 7.2 - i386, ia64, noarch
    * Red Hat Linux 7.3 - i386, noarch
    * Red Hat Linux 8.0 - i386, noarch
    * Red Hat Linux 9.0 - i386, noarch

KDE (K Desktop Environment), es un entorno gráfico de escritorio para
estaciones de trabajo UNIX. El mismo posee una falla al manejar
inadecuadamente ciertas direcciones URL (Uniform Resources Locator o
Localizador Uniforme de Recursos), nombres de archivos y también
direcciones electrónicas. La falla puede permitir a un atacante remoto,
ejecutar comandos en forma local.

Las versiones de KDE anteriores a la 3.1.1 (inclusive), también poseen una
vulnerabilidad que permite a un atacante preparar maliciosamente un
archivo PostScript o PDF para lograr ejecutar en forma arbitraria,
comandos incluidos en dichos archivos. Con esos comandos, el atacante
puede acceder a la cuenta de su víctima, y obtener sus mismos privilegios,
cuando ésta abre los archivos modificados para visualizarlos o cuando
examina el directorio que los contiene teniendo la opción de
previsualización de archivos activa.

Red Hat Linux 9 provee KDE 3.1 y no es vulnerable a la primera de las
fallas mencionadas, pero si a la segunda.

Red Hat Linux 7.3 y 8.0 vienen con KDE 3.0.3 y son vulnerables a ambas
fallas. Deben ser actualizados a la versión 3.0.5a de KDE.

Red Hat Linux 7.2 se proporciona con KDE 2.2.2, y Red Hat Linux 7.1 con
KDE 2.1.1, y también son vulnerables a ambas fallas.

Para aplicar las actualizaciones, se deben tener las anteriores.

Utilice el comando:

    rpm -Fvh [nombre]

donde [nombre] es la lista de RPMs que desea actualizar (puede ser *.rpm
si no hay otros archivos en el mismo directorio). RPM (o nombre.rpm), es
el "paquete" o archivo que contiene todos los archivos necesarios para
automatizar la instalación.

También pueden ser actualizadas vía Red Hat Network, lanzando el Red Hat
Update Agent con el siguiente comando:

    up2date


Referencias:

http://www.uniras.gov.uk/l1/l2/l3/brief2003/Brief%20-%2028703.txt
http://www.redhat.com/apps/support/errata/
http://www.vsantivirus.com/vul-kde-ps-pdf.htm
http://www.kde.org/info/security/advisory-20021220-1.txt
http://www.kde.org/info/security/advisory-20030409-1.txt
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1393
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0204



- -- 
- --
Sebastián D. Criado - scriado@ciudad.com.ar
L.U.G.R.o - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
- -------------------------------------------------------------------
"Si el Universo fuera un programa estaría hecho en C, y correría sobre
un sistema UNIX"
                                                   Anónimo.

			
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)

iD8DBQE+wnyb8hmHQ8ZCg0IRAqTcAKCOBeKp/X4ASO8PcHxX2gi84ogDBQCfcJ/w
mwLKFR0ZJqr92Us1J8m6hTg=
=OAek
-----END PGP SIGNATURE-----