PDA

Ver la Versión Completa : Creación insegura de archivos temporales en KDE



chuzo
28-mar-2005, 23:52
Se ha anunciado la existencia de una vulnerabilidad en el script dcopidlng de KDE, que puede ser empleada por un atacante local para elevar sus privilegios en el sistema.

KDE (K Desktop Environment) proporciona un entorno de escritorio gráfico en los sistemas operativos Unix. Se trata de un proyecto de código abierto, muy maduro y de gran calidad.

Concretamente el problema reside en que el script 'dcop/dcopidlng/dcopidlng' crea archivos temporales con un nombre predecible basados en el ID del proceso. Esto posibilita la realización de ataques de tipo enlace simbólico (symlink), que permitirán a un usuario local elevar sus privilegios en el sistema.

Las han confirmado como vulnerables las versiones 3.3.2 y anteriores, por lo que se recomienda actualizar a la versión 3.4 de KDE disponible en http://www.kde.org/download/

Más Información: KDE dcopidlng Unsafe Temporary Files May Let Local Users Gain Elevated Privileges (http://securitytracker.com/alerts/2005/Mar/1013525.html)

Fuente: Hispasec (http://www.hispasec.com/unaaldia/2346)

Un saludo :adios:

Goltnor
28-mar-2005, 23:54
Bueno mi amigo Chuzo debes ser familia de Flash o algo asi :p ya que iba yo a poner este mismo tema cuando vi q ya estaba aqui jejejeje :dedosarri

Un Salu2

:adios: