KDE KIO子系统网络协议实现任意命令执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1203571 漏洞类型 访问验证错误
发布时间 2002-11-29 更新时间 2005-10-20
CVE编号 CVE-2002-1281 CNNVD-ID CNNVD-200211-056
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200211-056
|漏洞详情
KDE是开放源代码用于Unix工作站的图形桌面环境,KDE提供通过KIO子系统支持各种网络协议。这些协议使用包含扩展.protocol的文本文件实现,一般存在于KDE安装root目录下的shared/services/子目录。KDEKIO子系统的rlogin和telnet协议实现存在漏洞,远程攻击者可以利用这个漏洞以当前用户权限在系统上执行任意命令。攻击者可以构建包含恶意URL的HTML页面,HTML邮件或其他使用KIO的应用程序,当目标用户被诱使点击的时候可导致以目标用户权限在系统上执行任意指令。rlogin协议在所有系统中都存在,而telnet协议只影响KDE2系统。
|参考资料

来源:BID
名称:6182
链接:http://www.securityfocus.com/bid/6182
来源:REDHAT
名称:RHSA-2002:220
链接:http://www.redhat.com/support/errata/RHSA-2002-220.html
来源:www.kde.org
链接:http://www.kde.org/info/security/advisory-20021111-1.txt
来源:MANDRAKE
名称:MDKSA-2002:079
链接:http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-079.php
来源:XF
名称:kde-rlogin-command-execution(10602)
链接:http://www.iss.net/security_center/static/10602.php
来源:DEBIAN
名称:DSA-204
链接:http://www.debian.org/security/2002/dsa-204
来源:SECUNIA
名称:8298
链接:http://secunia.com/advisories/8298
来源:BUGTRAQ
名称:20021114GLSA:kdelibs
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=103728981029342&w=2
来源:BUGTRAQ
名称:20021112KDESecurityAdvisory:rlogin.protocolandtelnet.protocolURLKIOVulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=103712550205730&w=2
来源:CALDERA
名称:CSSA-2003-012.0
链接:ftp://ftp.caldera.com/pub/security/OpenLinux/CSSA-2003-012.0.txt