Csomag: kdenetwork
Sebezhetőség: puffer túlcsordulás
Probléma-típus: helyi
Debian-specifikus: nem
CVE Id: CAN-2002-1247
Az iDEFENSE jelentett egy biztonsági sebezhetőséget a klisa csomagban, ami a LANról ad információkat hasonlóan a "Hálózati Helyekhez" (Network Neighbourhood), amit a Texonet fejlesztett ki. A hiba lehetővé teszi egy helyi támadó számára, hogy kihasználja a puffer túlcsordulási feltételt a resLISa-ban, ami egy korlátozott verziója a KLISa-nak. A sebezhetőség a LOGNAME könyezeti változó értelmezésében rejlik, egy túlzottan hosszú érték felülírja az Utasítás Mutatót (Instruction Pointer), így lehetővé téve a támadónak, hogy átvegye a vezérlést a futtatható kód felett.A probléma javítva van a 2.2.2-14.2 verzióban az aktuális stabil terjesztésben (woody) és a 2.2.2-14.3 verzióban az instabil terjesztésben (sid). A régi stabil terjesztés (potato) nem érintett a hibában lévén az nem tartalmaz kdenetwork csomagot.
Javasoljuk a klisa csomag azonnali frissítését.
Martin Schultze levele a debian-security-announce listán.
A frissítésről szóló FAQ-nk.