CERTA-2004-AVI-168

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité est présente dans le traitement de certains liens (URL) réalisé par KDE.

Description

A l'aide de liens (URL) habilement constitués, il est possible de passer des arguments aux applications en charge du traitement de ces liens. Ainsi, en incitant l'utilisateur d'une plate-forme vulnérable à utiliser des liens astucieusement construits, un utilisateur mal intentionné peut modifier, créer des fichiers avec les droits de la victime sur le système cible.

Solution

  • Avis de sécurité Mandrake MDKSA-2004:047 du 18 mai 2004 :

    http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:047

  • Avis de sécurité RedHat RHSA-2004:222 du 17 mai 2004 :

    http://rhn.redhat.com/errata/RHSA-2004-222.html

  • Avis de sécurité GLSA 200405-11 de Gentoo du 19 mai 2004 :

    http://www.gentoo.org/security/en/glsa/glsa-200405-11.xml

  • Bulletin de sécurité SUSE SuSE-SA:2004:014 du 26 mai 2004 :

    http://www.suse.com/de/security/2004_14_kdelibs.html

  • Avis de sécurité Debian DSA-518 du 14 juin 2004 :

    http://www.debian.org/security/2004/dsa-518

  • Avis de sécurité FreeBSD du 18 mai 2004 :

    http://www.vuxml.org/freebsd/

  • Mise à jour de sécurité des paquetages NetBSD kdelibs2 et kdelibs3 :

    ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/kdelibs2/README.html

ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/kdelibs3/README.html

Toutes les versions de KDE égales ou antérieures à la version 3.2.2.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eToutes les versions de KDE \u00e9gales ou  ant\u00e9rieures \u00e0 la version 3.2.2.\u003c/p\u003e",
  "content": "## Description\n\nA l\u0027aide de liens (URL) habilement constitu\u00e9s, il est possible de passer\ndes arguments aux applications en charge du traitement de ces liens.\nAinsi, en incitant l\u0027utilisateur d\u0027une plate-forme vuln\u00e9rable \u00e0 utiliser\ndes liens astucieusement construits, un utilisateur mal intentionn\u00e9 peut\nmodifier, cr\u00e9er des fichiers avec les droits de la victime sur le\nsyst\u00e8me cible.\n\n## Solution\n\n-   Avis de s\u00e9curit\u00e9 Mandrake MDKSA-2004:047 du 18 mai 2004 :\n\n        http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:047\n\n-   Avis de s\u00e9curit\u00e9 RedHat RHSA-2004:222 du 17 mai 2004 :\n\n        http://rhn.redhat.com/errata/RHSA-2004-222.html\n\n-   Avis de s\u00e9curit\u00e9 GLSA 200405-11 de Gentoo du 19 mai 2004 :\n\n        http://www.gentoo.org/security/en/glsa/glsa-200405-11.xml\n\n-   Bulletin de s\u00e9curit\u00e9 SUSE SuSE-SA:2004:014 du 26 mai 2004 :\n\n        http://www.suse.com/de/security/2004_14_kdelibs.html\n\n-   Avis de s\u00e9curit\u00e9 Debian DSA-518 du 14 juin 2004 :\n\n        http://www.debian.org/security/2004/dsa-518\n\n-   Avis de s\u00e9curit\u00e9 FreeBSD du 18 mai 2004 :\n\n        http://www.vuxml.org/freebsd/\n\n-   Mise \u00e0 jour de s\u00e9curit\u00e9 des paquetages NetBSD kdelibs2 et kdelibs3 :\n\n        ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/kdelibs2/README.html\n\n        ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/kdelibs3/README.html\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 \"URI handler vulnerabilities\" de KDE :",
      "url": "http://www.kde.org/info/security/advisory-20040517-1.txt"
    }
  ],
  "reference": "CERTA-2004-AVI-168",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-05-19T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Gentoo, FreeBSD et NetBSD.",
      "revision_date": "2004-05-24T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 SUSE.",
      "revision_date": "2004-05-27T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian.",
      "revision_date": "2004-06-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans le traitement de certains liens\n(URL) r\u00e9alis\u00e9 par KDE.\n",
  "title": "Vuln\u00e9rabilit\u00e9s sous KDE",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 \"URI handler vulnerabilities\" de KDE.",
      "url": null
    },
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 RHSA-2004:222 de Red Hat",
      "url": null
    },
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 MDKSA-2004:047 de Mandrake",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.