发布日期：2002-11-14
更新日期：2002-11-19

受影响系统：

KDE KDE 3.0.4
KDE KDE 3.0.3
KDE KDE 3.0.1
KDE KDE 2.2.2
KDE KDE 2.2.1
KDE KDE 2.2
KDE KDE 2.1.2
KDE KDE 2.1.1
KDE KDE 2.1
KDE KDE 3.0
    - Caldera OpenLinux Server 3.1.1
    - Caldera OpenLinux Workstation 3.1.1
    - Conectiva Linux 8.0
    - Mandrake Linux 8.2

描述：

---

BUGTRAQ  ID: 6182
CVE(CAN) ID: CVE-2002-1247

KDE是开放源代码用于Unix工作站的图形桌面环境，KDE提供通过KIO子系统支持各种网络协议。这些协议使用包含扩展.protocol的文本文件实现，一般存在于KDE安装root目录下的shared/services/子目录。

KDE KIO子系统的rlogin和telnet协议实现存在漏洞，远程攻击者可以利用这个漏洞以当前用户权限在系统上执行任意命令。

攻击者可以构建包含恶意URL的HTML页面，HTML邮件或其他使用KIO的应用程序，当目标用户被诱使点击的时候可导致以目标用户权限在系统上执行任意指令。

rlogin协议在所有系统中都存在，而telnet协议只影响KDE 2系统。

<*来源：KDE security advisory
  
  链接：http://www.kde.org/info/security/advisory-20021111-1.txt
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 关闭KDE系统中的rlogin和telnet KIO协议，这可以通过删除任何在系统中的'rlogin.protocol'和'telnet.protocol'文件完成。

厂商补丁：

KDE
---
KDE已经为此发布了一个安全公告（KDE-20021111-1）以及相应补丁:
KDE-20021111-1：rlogin.protocol and telnet.protocol URL KIO Vulnerability
链接：http://www.kde.org/info/security/advisory-20021111-1.txt

补丁下载：

KDE Upgrade KDE 3.0.5
http://download.kde.org/stable/3.0.5/

KDE Patch post-3.0.4-kdelibs-kio-misc.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-3.0.4-kdelibs-kio-misc.diff

浏览次数：2832
严重程度：0（网友投票）