发布日期：2003-09-17
更新日期：2003-09-22

受影响系统：

KDE KDE 3.1.3
KDE KDE 3.1.2
KDE KDE 3.1.1a
KDE KDE 3.1
KDE KDE 3.0.5b
KDE KDE 3.0.5a
KDE KDE 3.0.5
KDE KDE 3.0.4
KDE KDE 3.0.3
KDE KDE 3.0.1
KDE KDE 3.0
KDE KDE 2.2.1
KDE KDE 2.2
KDE KDE 2.1.2
KDE KDE 2.1.1
KDE KDE 2.1
KDE KDE 2.0.1
KDE KDE 2.0 BETA
KDE KDE 2.0
KDE KDE 1.2
KDE KDE 1.1.2
KDE KDE 1.1.1
KDE KDE 1.1
KDE KDE 2.2.2
    - Debian Linux 3.0
    - Mandrake Linux 8.2
    - Mandrake Linux 8.1
    - RedHat Linux 7.2
    - RedHat Linux 7.1
KDE KDE 3.1.1
    - Conectiva Linux 9.0
    - RedHat Linux 9.0
    - SuSE Linux 8.1

描述：

---

BUGTRAQ  ID: 8635
CVE(CAN) ID: CVE-2003-0690

KDE是一款免费开放源代码X桌面管理程序，设计用于Unix和Linux操作系统。

KDE Display Manager当结合使用PAM验证模块时存在问题，远程攻击者可以利用这个漏洞未授权访问系统。

KDM在处理pam_setcred()函数调用时存在问题，部分配置下MIT pam_krb5模块会导致pam_setcred()调用失败而使会话依旧处于存活状态，普通用户拥有合法帐户名和密码可以以ROOT权限访问系统。

<*来源：KDE security advisory
  
  链接：http://www.kde.org/info/security/advisory-20030916-1.txt
*>

建议：

---

厂商补丁：

KDE
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载相关补丁：

        KDE 2.2.2
        ftp://ftp.kde.org/pub/kde/security_patches :

        4672868343b26e0c0eae91fffeff1f7e  post-2.2.2-kdebase-kdm.patch

        KDE 3.0.5b
        ftp://ftp.kde.org/pub/kde/security_patches :

        fde237203fc7b325c34d2f90a463db3f  post-3.0.5-kdebase-kdm.patch

        KDE 3.1.3
        ftp://ftp.kde.org/pub/kde/security_patches :

        8553c20798b321e333d8c516636f2297  post-3.1.3-kdebase-kdm.patch


或升级到KDE 3.1.4版本。

浏览次数：2853
严重程度：0（网友投票）