Warnstufe:
Unkritisch
Auswirkungen:
Umgehung von Sicherheitsmechanismen
Angriffsweg(e):
Lokales System
Software:
KDE 3.x
Beschreibung:
Das KDE Projekt bestaetigt eine Sicherheitsluecke in KDM (K Desktop Manager),
ueber die lokale Benutzer bestimmte Zugriffsbeschraenkungen umgehen koennen.
Die Schwachstelle entsteht durch einen Fehler bei der Ueberpruefung von
Benutzerinformationen waehrend des Anmeldeprozess. Durch gezielte Manipulation
koennen Angreifer sich an beliebigen Benutzerkonten (inklusive „root“) ohne
gueltiges Kennwort anmelden.
Um Aussicht auf Erfolg zu haben, muessen fuer einen Angriff eine Reihe von
Bedingungen gegeben sein; beispielsweise dass die Funktionen "autologin" und
"shutdown with password" aktiviert sind.
Die Sicherheitsluecke wird bestaetigt fuer Version 3.3.0 bis 3.5.7.
Lösung:
Installieren Sie die Patches.
KDE 3.5.0 through 3.5.7:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.5.7-kdebase-kdm.diff
KDE 3.3.0 through 3.4.2:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.4.2-kdebase-kdm.diff
Original Security-Report:
http://www.kde.org/info/security/advisory-20070919-1.txt
Gemeldet von:
The vendor credits Kees Huijgen.
Keine Kommentare:
Kommentar veröffentlichen