当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

多个KDE产品安全限制绕过漏洞(CVE-2014-8600)

     发表日期:2014-12-03 16:45:00

多个KDE产品安全限制绕过漏洞(CVE-2014-8600)

BugTraq-ID:71190

CVE-ID:CVE-2014-8600

发布日期:2014-11-13

更新日期:2014-11-13

受影响系统:

KDE kwebkitpart <= 1.3.4

KDE kio-extras <= 5.1.1

KDE KDE-Runtime <= 4.14.3

详细信息:

KDE是一个国际性的自由软件社区,开发运行在Linux、BSD、Solaris、Microsoft Windows 与 Mac OS X等平台上的一系列跨平台应用程序。 KDE kwebkitpart 1.3.4及更早版本、KDE kde-runtime 4.14.3及更早版本、KDE kio-extras 5.1.1及更早版本在实现上存在多个安全限制绕过漏洞,成功利用后可使攻击者绕过某些安全限制,执行未授权操作。远程攻击者通过构造的URI,使用(1) zip, (2) trash, (3) tar, (4) thumbnail, (5) smtps, (6) smtp, (7) smb, (8) remote, (9) recentdocuments, (10) nntps, (11) nntp, (12) network, (13) mbox, (14) ldaps, (15) ldap, (16) fonts, (17) file, (18) desktop, (19) cgi, (20) bookmarks, (21) ar方案,注入任意Web脚本或HTML。

来源:

T. Brown

解决办法:

厂商补丁:

KDE

---

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

kwebkitpart

http://quickgit.kde.org/?p=kwebkitpart.git&a=commit&h=641aa7c75631084260ae89aecbdb625e918c6689

kde-runtime

http://quickgit.kde.org/?p=kde-runtime.git&a=commit&h=d68703900edc8416fbcd2550cd336cbbb76decb9

kio-extras

http://quickgit.kde.org/?p=kio-extras.git&a=commit&h=13155c8eb71d1c946bea21c38ea0f8ca7c7013cd

https://www.kde.org/info/security/advisory-20141113-1.txt