Bienvenido a Webpanto

Menú Principal
Principal
Antivirus
Archivo de Noticias
Descargas
Juegos
Manuales
Programación
Top Webpanto
Tópicos
Videos
Publicidad
Servicios
Test de Conexión
Ultimos Virus
Busca en tu Web

Buscar en la Web
Noticias en tu Web
Quienes Somos
Publicidad
Agregar a Favoritos
Recomiéndanos
Enlázanos
Contactar
FAQ Webpanto
Webs Amigas
Solotutoriales
Informatica
OfertiLandia
Juegos Gratis
Cursos y tutoriales gratis
 Actualizaciones de seguridad en KDE
Enviado el Miércoles, 11 de diciembre a las 16:51:03 por Beldan

KDE En los últimos meses se han dado a conocer diversas vulnerabilidades de seguridad en KDE.

KDE (K Desktop Environment) proporciona un entorno de escritorio gráfico en los sistemas operativos Unix. Se trata de un proyecto de código abierto, muy maduro y de gran calidad.


En los últimos meses, desde agosto a noviembre del presente año, se han dado a conocer diversas vulnerabilidades de seguridad:

Vulnerabilidad en LISa

Kdenetwork es el componente de KDE encargado de la comunicación entre los diferentes equipos que ejecuten KDE en una misma red, utilizando URL del tipo lan:// y rlan://

Este componente utiliza dos daemons: LISa (el daemon principal) y resLISa (una versión con permisos restringidos). Se ha descubierto la existencia de un desbordamiento de memoria intermedia en resLISa que puede ser utilizada por un usuario local para obtener privilegios de root en el sistema vulnerable.

La vulnerabilidad podría llegar a ser utilizada por un atacante remoto para obtener acceso a la máquina vulnerable mediante la utilización de las URL lan:// en una página web o una aplicación KDE.

Esta vulnerabilidad afecta a todas las versiones de KDE 2 y a las versiones de KDE 3 anteriores a la 3.0.4 y 3.1rc3 (incluidas). La vulnerabilidad ha sido solucionada en la versión 3.0.5 y existe un parche para la versión 3.0.4.

Vulnerabilidad en KIO

KDE da soporte a diversos protocolos de red a través del subsistema KIO. Estos protocolos son implementados mediante archivos de texto con la extensión .protocol, habitualmente en el directorio shared/services/ dentro del directorio raíz de KDE.

La implementación de diversos protocolos (rlogin en todas las versiones afectadas y telnet en las versiones de KDE 2) puede ser utilizada por un atacante remoto para ejecutar código arbitrario en las máquinas vulnerables.

Esta vulnerabilidad afecta a todas las versiones de KDE posteriores a la 2.1 así como a todas las versiones de KDE 3 anteriores a la 3.0.4 y 3.1rc3 (inclusive). La vulnerabilidad ha sido solucionada en la versión 3.0.5 y existe un parche para la versión 3.0.4. Se recomienda a los usuarios de versiones anteriores de KDE 3 la actualización a la versión 3.0.5, mientras que en el caso de los usuarios de KDE 2 se recomienda desactivar los protocolos telnet y rlogin en KIO.

Escalada de directorios en kpf

kpf es una utilidad para compartición de archivos que puede asociarse a la barra de tareas de KDE. Internamente su funcionamiento es muy parecido al de un servidor web y utiliza un subconjunto del protocolo HTTP.

Existe una vulnerabilidad en las versiones de kpf posteriores a la 3.0.1 y anteriores a la 3.0.3a que puede ser utilizada por un atacante remoto para acceder, en modalidad de lectura, a cualquier archivo incluso si no está expresamente compartido.

Ejecución arbitraria de código en Kghostview

Kghostview es el visualizador de archivos PostScript y PDF incluido en KDE. Las versiones para cualquier versión de KDE entre la 1.1 y la 3.0.3a tienen un desbordamiento de memoria intermedia que puede ser utilizado para ejecutar código arbitrario, con los privilegios del usuario que visualiza el archivo PostScript/PDF, en la máquina vulnerable.

Hay disponible un parche, aunque se recomienda la actualización a la versión 3.0.5 de KDE.

Vulnerabilidad Cross Site Scripting en Konqueror

Existe una vulnerabilidad del tipo Cross Site Scripting en las versiones de Konqueror incluidas en KDE 2 (versión 2.2) y KDE 3 (versiones entre la 3.0 y la 3.0.3) que puede ser utilizada por un JavaScript desde un frame o un iframe para acceder a la información de otros dominios.

Esta vulnerabilidad afecta a Konqueror así como a cualquier otra aplicación que utilice el sistema de presentación KHTML.

Se recomienda la actualización a la versión 3.0.5 de KDE.

Konqueror no reconoce el campo "Secure" en las cookies

Konqueror no reconoce el campo "Secure" de la cabecera de las cookies. Como consecuencia de ello, es posible enviar en una sesión HTTP estándar, sin cifrado, cookies que contienen información confidencial.

Esta vulnerabilidad afecta a las versiones de Konqueror incluidas en KDE 3.0, 3.0.1 y 3.0.2.

Se recomienda la actualización a la versión 3.0.5 de KDE.

Errores en el reconocimiento de certificados SSL

La implementación de SSL de KDE (versiones anteriores a la 3.0.2) no realiza las comprobaciones adecuadas en los certificados. Como consecuencia de ello es posible que un certificado erróneo o que no hay sido firmado por la supuesta autoridad certificadora, sea considerado como válido.

Se recomienda actualizar a la versión 3.0.5 de KDE.

Más información:

KDE Security Advisory: resLISa / LISa Vulnerabilities
http://www.kde.org/info/security/advisory-20021111-2.txt

KDE Security Advisory: rlogin.protocol and telnet.protocol URL KIO Vulmerability
http://www.kde.org/info/security/advisory-20021111-1.txt

KDE Security Advisory: kpf Directory traversal
http://www.kde.org/info/security/advisory-20021008-2.txt

KDE Security Advisory: Konqueror Cross Site Scripting Vulnerability
http://www.kde.org/info/security/advisory-20020908-2.txt

KDE Security Adivsory: Secure Cookie Vulnerability
http://www.kde.org/info/security/advisory-20020908-1.txt

KDE Security Advisory: Konqueror SSL vulnerability
http://www.kde.org/info/security/advisory-20020818-1.txt

RedHat updates to KDE
http://www.secunia.com/advisories/7650/

KDE KIO Protocol Subsystem Bugs May Let Remote Users Execute Arbitrary Commands
http://www.securitytracker.com/alerts/2002/Nov/1005609.html

Updated KDE packages fix security issues
https://listman.redhat.com/pipermail/redhat-watch-list/2002- December/000602.html

SuSE Security Advisory: kdenetwork
http://www.suse.com/de/security/2002_042_kdenetwork.html




 
Temas Relacionados
· Más Acerca de KDE
· Noticias de


Noticia más leída sobre KDE:
Soluciones de Red Hat para dos vulnerabilidades en KDE

Votos del Artículo
Puntuación Promedio: 0
Votos: 0

Por favor tómate un segundo y vota por este artículo:

Excelente
Muy Bueno
Bueno
Regular
Malo

Opciones

 Versión Imprimible Versión Imprimible

 Enviar a un Amigo Enviar a un Amigo


Fluor y Beldan © copyleft 2003, Webpanto.com

SexyWorldTube | Cocina Sencilla | Portal del Rock | Rockcore | Valencia Central | Juegos para Flash | Juegos Jugon | Maceto Huerto

PHP-Nuke Copyright © 2004 by Francisco Burzi. This is free software, and you may redistribute it under the GPL. PHP-Nuke comes with absolutely no warranty, for details, see the license.
Página Generada en: 0.04 Segundos