JVNDB-2002-000300
|
KDE の resLISa におけるバッファオーバーフローの脆弱性
|
|
------------
本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。
------------
KDE は X Window System 用に開発された総合デスクトップ環境です。
Red Hat Linux に実装されている KDE 2.x、3.x には以下の複数のセキュリティ上の問題が存在します。
1. KDE 3.0.2 に同梱されている Web ブラウザ Konqueror の SSL 機能に不備があり、信頼されていないサイトを信頼済みのサイトとして取り扱ってしまう問題があります。
2. KDE 3.0 から 3.0.2 の Konqueror には Cookie の secure フラグを検知しない不備が存在し、Cookie を漏洩してしまう問題があります。
3. KDE 3.0.3 以前の Konqueror にはクロスサイトスクリプティング攻撃を受ける問題があります。
4. KDE 3.0.1 から実装された kpf ファイルにはローカルの攻撃者に任意のファイルを閲覧されてしまう問題があります。
5. KDE 2.x から 3.0.4 には rlogin プロトコルと telnet プロトコルの実装に不備が存在し、リモート及びローカルの攻撃者に KDE の実行権限で任意のコードを実行される問題があります。
6. KDE LAN ブラウジング機能を提供する resLISa にはバッファオーバーフローの問題、LISa には権限昇格の問題があります。(LISa サービスはデフォルトでは無効に設定されています)
|
|
CVSS v2 による深刻度
基本値: 7.2 (危険) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
レッドハット
- Red Hat Linux 7.2
- Red Hat Linux 7.3
- Red Hat Linux 8.0
|
|
|
本脆弱性に伴う影響については、「概要」をご参照ください。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
レッドハット
|
|
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2002-1247
|
|
- National Vulnerability Database (NVD) : CVE-2002-1247
- SecurityFocus : 5691
- SecurityFocus : 5689
- SecurityFocus : 5951
- SecurityFocus : 6182
- SecurityFocus : 6157
|
|
|
