Red Hat i SuSE łatają krytyczne luki w KDE
- Józef Muszyński,
- 24.01.2006, godz. 09:49
Red Hat i SuSE udostępniły łatki dotyczące krytycznych luk w swoich dystrybucjach Linuksa. Luki te są pochodną usterek w programowaniu środowiska KDE.
KDE jest pakietem interfejsu użytkownika, używanym w wielu wersjach systemów operacyjnych Unix i Linux. Luka w KDE, wykryta w ubiegłym tygodniu, została sklasyfikowana jako krytyczna, zarówno przez Red Hat, jak i French Security Incident Response Team (FrSIRT).
Dotyczy ona motoru JavaScript używanego w różnych częściach KDE, obejmujących m.in. przeglądarkę Konqueror. Usterka umożliwia zdalnemu napastnikowi wyprowadzenie ataku typu 'przepełnienie bufora' i w konsekwencji uruchomienie dowolnego kodu na zaatakowanej maszynie.
Użytkownik ma możliwość wyłączenia JavaScript, ale może to spowodować nieprawidłowe wyświetlanie niektórych stron WWW.
Problem dotyczy wersji 4 Red Hat Enterprise Linux AS, ES i WS, a także wersji 4 Red Hat Linux Desktop. Red Hat udostępnił łatki na Red Hat Network.
Wersje Suse, których dotyczy problem to: 10.0, 9.3 i 9.1 (zob.http://www.novell.com/linux/security/advisories/2006_03_kdelibs3.html/)
KDE także udostępniła łatki uszczelniające tę lukę i komentarz do nich pod adresem http://kde.org/info/security/advisory-20060119-1.txt . Usterka dotyczy KDE 3.2.0 do KDE 3.5.0.
Najnowsza wersja KDE 3.5, wydana w listopadzie ub.r., jest od niej wolna. Luka nie dotyczy też Red Hat Enterprise Linux 3 i 2.1.
Komentarz FrSIRT pod adresem: http://www.frsirt.com/english/advisories/2006/0279.