El grupo de desarrollo de KDE ha informado
en
http://www.kde.org/info/security/ad...-20040811-1.txt y
http://www.kde.org/info/security/ad...-20040811-2.txt
sobre dos
vulnerabilidades en KDE, que pueden ser aprovechadas por usuarios maliciosos
para llevar a cabo diversas acciones en los sistemas vulnerables.
KDE ofrece un entorno de escritorio gráfico en los sistemas operativos Unix,
y es uno de los más utilizados para simplificar la utilización de dichos
sistemas.
Cuando un usuario ejecuta aplicaciones KDE fuera de su entorno o como otro
usuario, se crean determinados archivos y directorios de forma insegura.
Esto podría emplearse para la realización de ataques que tengan como
consecuencia el borrado o sobrescritura de archivos, o evitar que las
aplicaciones KDE accedan a determinados directorios. Esta vulnerabilidad
afecta a KDE 3.2.3 y anteriores.
Para llevar a cabo la autenticación de usuario DCOPServer crea archivos
temporales. Sin embargo, esto se realiza de forma insegura. Ello podría ser
aprovechado por usuarios locales para elevar sus privilegios en el sistema.
Esta vulnerabilidad afecta a las versiones KDE 3.2.x.
KDE ya ha publicado las correspondientes actualizaciones que corrigen estos
problemas:
Para KDE 3.0.5b:
[url]ftp://ftp.kde.org/pub/kde/security_patches/post-3.0.5b-kdelibs-kstandarddirs.patch[/url]
Para KDE 3.1.5:
[url]ftp://ftp.kde.org/pub/kde/security_...ndarddirs.patch[/url]
Para KDE 3.2.3:
[url]ftp://ftp.kde.org/pub/kde/security_...ndarddirs.patch[/url]
[url]ftp://ftp.kde.org/pub/kde/security_...copserver.patch[/url]