Csomag: kdelibs
Sebezhetőség: titok kiterjesztés a Konquerer-el
Probléma típus: távoli és helyi
Debian-specifikus: nem
Egy biztonsági tervezés hiányosságából következően, a KDE SSL könyvtára, amit a Konqueror használ, nem ellenőrzi a kapcsolathoz tartozó köztes tanusítványokat amiket egy tanusítványkiállító hatóság már aláírt, de akkor lett elfogadva, amikor aláírva. Ez lehetővé teszi bárkinek akinek van egy érvényes SSL oldal tanusítványa hogy hamisítson bármelyik másik VeriSign SSL oldal tanusítványt, és abnormális használatra késztesse a Konqueror felhasználókat.Egy helyi root exploitot fedeztek fel, ami az artsd-t használja, és ki is lehet használni egy nembiztonságos format string-el. Az exploit egy Debian rendszeren nem működik, lévén az az artsd nem setuid root-os. Sem az artsd sem az artswrapper-nek nem kell setuid root-osnak lennie, lévén a jelenlegi számítógépek elég gyorsak ahhoz, hogy időben lekezeljék a hang adatokat.
A problémákat javítja a 2.2.2-13.woody.2 verzió az aktuális stabil disztribúcióban(woody). A régi stabil disztribúció (potato) nem érintett, lévén az nem tartalmazza a KDE csomagokat. Az unstabil disztribúció (sid) még nem javított, de új csomagok várhatók a jövőben, a javított verzió a 2.2.2-14 lesz vagy magasabb.
Javasoljuk frissítsd a kdelibs és libarts csomagokat, valamint indítsd újra a Konquerer-t.
Martin Schultze levele a debian-security-announce listán.
A frissítésrõl szóló FAQ-nk.