KDE – sigurnosne ispravke

Podeli preko

Otkrivene greške vezane za KDE pakete kdenetwork i kdelibs su sada
ispravljene i ažurirane pakete možete direktno instalirati pomoću
MandrakeUpdate programa kada se konektujete
na internet. Pakete možete i
ručno instalirati pomoću komande “rpm -Fvh *.rpm”, naravno kada skinete
pakete sa http://www.mandrakesecure.net/en/ftp.php.
Detaljnije o greškama dalje
u tekstu (koje verzije KDE su pogođene)…1. Greške koje su otkrivene u KIO podsistemu mog uticati na različite
mrežne protokole. Iplementacija rlogin protokalo utiče na sve KDE
verzije od 2.1 do 3.0.4, dok iplementacija telnet protokola samo utiče
na KDE 2.x. One dozvoljavaju pažljivo sakrivenim URL-ovima u
HTML stranici, email-u ili nekoj drugoj KIO-enabled aplikaciji da izvrši
bilo koju komandu
kao i žrtva sa svojim privilegijama.

KDE tim je napravio ispravku za KDE3 koja se nalazi u ovim novim paketima.
Ispravke nisu napravljene za KDE2 pa isti tim preporučuje da se deaktiviraju
i rlogin i telnet KIO protokoli. Ovo možete uraditi tako što ćete kao
root, tukloniti sledeće fajlove:

/usr/share/services/telnet.protocol i
/usr/share/services/rlogin.protocol. Ukoliko i jedan od ovih fajlova
postoji i u nekom korisničkom direktorijumu
user’s ~/.kde/share/services i njih, naravno, treba ukloniti.

2. SuSE tim koji se bavi sigurnosnim problemima je otkrio dva baga u
KDE
lanbrowsing servisu tokom korišćenjaaudit-a. LISa mrežni demon
i “reslisa”, ograničena verzija LISa se koriste da identifikuju servere
na lokalnoj mreži pomoću ukucavanja URL-a “lan://” and “rlan://”
buffer overflow koji je otkriven u lisa demonu može biti iskorišten za napad
na lokalnoj mreži za pristup root ovlašćenjima. Još jedan buffer
overflow je pronađen u lan:// URL handler, koji op&#
1077;t može biti iskorišten
od strane spoljnjeg napadača za dobavljanje pristupa korisnikovom računu