发布日期：2003-09-17
更新日期：2003-09-22

受影响系统：

KDE KDE 3.1.3
KDE KDE 3.1.2
KDE KDE 3.1.1a
KDE KDE 3.1
KDE KDE 3.0.5b
KDE KDE 3.0.5a
KDE KDE 3.0.5
KDE KDE 3.0.4
KDE KDE 3.0.3
KDE KDE 3.0.1
KDE KDE 3.0
KDE KDE 2.2.1
KDE KDE 2.2
KDE KDE 2.1.2
KDE KDE 2.1.1
KDE KDE 2.1
KDE KDE 2.0.1
KDE KDE 2.0 BETA
KDE KDE 2.0
KDE KDE 1.2
KDE KDE 1.1.2
KDE KDE 1.1.1
KDE KDE 1.1
KDE KDE 2.2.2
    - Debian Linux 3.0
    - Mandrake Linux 8.2
    - Mandrake Linux 8.1
    - RedHat Linux 7.2
    - RedHat Linux 7.1
KDE KDE 3.1.1
    - Conectiva Linux 9.0
    - RedHat Linux 9.0
    - SuSE Linux 8.1

描述：

---

BUGTRAQ  ID: 8636
CVE(CAN) ID: CVE-2003-0692

KDE是一款免费开放源代码X桌面管理程序，设计用于Unix和Linux操作系统。

KDE Display Manager对生成会话COOKIE的算法不够强壮，远程攻击者可以利用这个漏洞对其他用户进行会话劫持。

由于KDE Display Manager (KDM)使用的生成会话COOKIE的算法存在问题，允许未授权用户通过暴力攻击猜测会话COOKIE，通过会话劫持，可绕过主机/IP限制，未授权访问系统。

<*来源：KDE security advisory
  
  链接：http://www.kde.org/info/security/advisory-20030916-1.txt
*>

建议：

---

厂商补丁：

KDE
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载相关补丁：

        KDE 2.2.2
        ftp://ftp.kde.org/pub/kde/security_patches :

        4672868343b26e0c0eae91fffeff1f7e  post-2.2.2-kdebase-kdm.patch

        KDE 3.0.5b
        ftp://ftp.kde.org/pub/kde/security_patches :

        fde237203fc7b325c34d2f90a463db3f  post-3.0.5-kdebase-kdm.patch

        KDE 3.1.3
        ftp://ftp.kde.org/pub/kde/security_patches :

        8553c20798b321e333d8c516636f2297  post-3.1.3-kdebase-kdm.patch


或升级到KDE 3.1.4版本。

浏览次数：3125
严重程度：0（网友投票）