发布日期：2003-05-08
更新日期：2003-05-14

受影响系统：

KDE kopete 0.6.2
KDE kopete 0.6.1
    - Mandrake Linux 9.1

描述：

---

BUGTRAQ  ID: 7536
CVE(CAN) ID: CVE-2003-0256

kopete是一款KDE即时消息客户端，可使用GnuPG插件预先给用户发送GPG加密信息。

kopete没有正确过滤远程用户的输入，远程攻击者可以利用这个漏洞以kopete进程权限在系统上执行任意命令。

插件传递加密消息给GPG时，没有对传递的命令行进行充分过滤，构建恶意消息可能以kopete进程权限在系统上执行任意命令。目前没有提供详细漏洞细节。

<*来源：Mandrake Linux Security Update Advisory
  
  链接：http://www.linux-mandrake.com/en/security/2003/2003-055.php
*>

建议：

---

厂商补丁：

MandrakeSoft
------------
MandrakeSoft已经为此发布了一个安全公告（MDKSA-2003:055）以及相应补丁:
MDKSA-2003:055：Updated kopete packages fix vulnerability with GnuPG plugin
链接：http://www.linux-mandrake.com/en/security/2003/2003-055.php

补丁下载：

Updated Packages:

Mandrake Linux 9.1:
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/RPMS/kopete-0.6.2-1.1mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/RPMS/libkopete1-0.6.2-1.1mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/SRPMS/kopete-0.6.2-1.1mdk.src.rpm

Mandrake Linux 9.1/PPC:
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/RPMS/kopete-0.6.2-1.1mdk.ppc.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/RPMS/libkopete1-0.6.2-1.1mdk.ppc.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/SRPMS/kopete-0.6.2-1.1mdk.src.rpm

上述升级软件还可以在下列地址中的任意一个镜像ftp服务器上下载：
http://www.mandrakesecure.net/en/ftp.php

浏览次数：3069
严重程度：0（网友投票）