安全研究

安全漏洞
KDE Kopete GPG插件远程命令执行漏洞

发布日期:2003-05-08
更新日期:2003-05-14

受影响系统:
KDE kopete 0.6.2
KDE kopete 0.6.1
    - Mandrake Linux 9.1
描述:
BUGTRAQ  ID: 7536
CVE(CAN) ID: CVE-2003-0256

kopete是一款KDE即时消息客户端,可使用GnuPG插件预先给用户发送GPG加密信息。

kopete没有正确过滤远程用户的输入,远程攻击者可以利用这个漏洞以kopete进程权限在系统上执行任意命令。

插件传递加密消息给GPG时,没有对传递的命令行进行充分过滤,构建恶意消息可能以kopete进程权限在系统上执行任意命令。目前没有提供详细漏洞细节。

<*来源:Mandrake Linux Security Update Advisory
  
  链接:http://www.linux-mandrake.com/en/security/2003/2003-055.php
*>

建议:
厂商补丁:

MandrakeSoft
------------
MandrakeSoft已经为此发布了一个安全公告(MDKSA-2003:055)以及相应补丁:
MDKSA-2003:055:Updated kopete packages fix vulnerability with GnuPG plugin
链接:http://www.linux-mandrake.com/en/security/2003/2003-055.php

补丁下载:

Updated Packages:

Mandrake Linux 9.1:
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/RPMS/kopete-0.6.2-1.1mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/RPMS/libkopete1-0.6.2-1.1mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/SRPMS/kopete-0.6.2-1.1mdk.src.rpm

Mandrake Linux 9.1/PPC:
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/RPMS/kopete-0.6.2-1.1mdk.ppc.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/RPMS/libkopete1-0.6.2-1.1mdk.ppc.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/SRPMS/kopete-0.6.2-1.1mdk.src.rpm

上述升级软件还可以在下列地址中的任意一个镜像ftp服务器上下载:
http://www.mandrakesecure.net/en/ftp.php

浏览次数:3099
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障