VULHUB ™

KDE是一款UNIX工下开源图形桌面环境。 KDE存在多个安全漏洞，具体如下： Ark输入过滤错误： KDE归档工具，由于不充分的校验可导致特殊构建的归档文件，使用未知的MIME类型，当使用KHTML实例渲染时，可触发不可控的XMLHTTPRequests给远程站点。 IO Slaves输入过滤错误： KDE协议处理器执行不充分的输入校验，攻击者可以构建恶意URI可触发JavaScript执行，另外'help://'协议处理器存在目录遍历攻击。不过注意此问题的恶意URI不能嵌入在Internet域内容中。 KMail输入过滤错误： KDE邮件客户端KMail执行不充分的校验，可导致特殊构建的Email附件，使用使用未知的MIME类型，当使用KHTML实例渲染时，可触发不可控的XMLHTTPRequests给远程站点。 KDE < 4.3.2 KDE 3.5.5 - KDE 3.5.10的补丁可从如下地址获得： ftp://ftp.kde.org/pub/kde/security_patches : a2f49aa8879a7e33bd271236514e5aac xmlhttprequest_3.x.diff KDE 4.x的补丁可从如下地址获得： http://websvn.kde.org/?view=revision&revision=1035539 http://websvn.kde.org/?view=revision&revision=1030579 http://websvn.kde.org/?view=revision&revision=938003

KDE是一款UNIX工下开源图形桌面环境。 KDE存在多个安全漏洞，具体如下： Ark输入过滤错误： KDE归档工具，由于不充分的校验可导致特殊构建的归档文件，使用未知的MIME类型，当使用KHTML实例渲染时，可触发不可控的XMLHTTPRequests给远程站点。 IO Slaves输入过滤错误： KDE协议处理器执行不充分的输入校验，攻击者可以构建恶意URI可触发JavaScript执行，另外'help://'协议处理器存在目录遍历攻击。不过注意此问题的恶意URI不能嵌入在Internet域内容中。 KMail输入过滤错误： KDE邮件客户端KMail执行不充分的校验，可导致特殊构建的Email附件，使用使用未知的MIME类型，当使用KHTML实例渲染时，可触发不可控的XMLHTTPRequests给远程站点。 KDE < 4.3.2 KDE 3.5.5 - KDE 3.5.10的补丁可从如下地址获得： ftp://ftp.kde.org/pub/kde/security_patches : a2f49aa8879a7e33bd271236514e5aac xmlhttprequest_3.x.diff KDE 4.x的补丁可从如下地址获得： http://websvn.kde.org/?view=revision&revision=1035539 http://websvn.kde.org/?view=revision&revision=1030579 http://websvn.kde.org/?view=revision&revision=938003