[Pardus-kullanicilari] KDE'deki büyük açık Bilginize

[Buğrahan Korkmaz]

Sanırım KDM...

15.06.2006 tarihinde Ömer F. USTA <omerusta at gmail.com> yazmış:
>
> Merhaba
> Sanırım biraz ayıp ettim. Kısa bir özeti şu şekilde
> KDE nin grafiksel login ekranı olan KDM oturum türünün kullanıcı
> tarafından
> seçilmesini sağlamakta ve bunu her kullanıcının kendi dizininde bir
> dosyada
> tutmakta. Eğer sen bu dosyayı bir sembolik bağ ile değiştirirsen
> /etc/shadow dahil bircok dosyayı okuma imkanın olur ki bu da sistemi
> çözmen/kırman demektir. ( Bunun nasıl yapılabileceğini sorma çünkü bende
> bilmiyorum :D )
> Bu hatayı Ludwig Nussel isimli biri raporlamış. ve bu hata KDE'nin
> 3.2.0 sürümünden
> 3.5.3(yani şu anki son sürüm ) e kadar tüm KDE sürümlerinde mevcut.
> Bu açığı kapatan yamayı ftp://ftp.kde.org/pub/kde/security_patches
> adresinden indirebilirsin
> (ama sanırım orda sadece .diff şeklinde bulunacaktır ve source koda
> yapılabilecek bir
> patchtir (muhtemelen ). Pardus veya diğer dağıtımlar için yama sanırım
> henüz hazır değil)
>
> Not: Pardus KDM mi GDM mi kullanıyordu ?
>
> On 6/15/06, mengucek <mengucek at gmail.com> wrote:
> > merhaba...
> > kimbilir.. belki bir kardeşimiz çıkar ve bu "büyük açığın" Türkçe
> mealini..
> > ucundan-bucağından azıcık açıklar :)
> > hatta.. lazımsa-gerekliyse-mümkünse.. şunu-şöyle yap deyiverir..
> > çünkü.. benim bu ingilizce balığını tutmayı öğrenmem çoook uzun iş :)
> > hoşça kalın :)
> >
> > Perşembe 15 Haziran 2006 10:36 tarihinde, Ömer F. USTA şunları yazmıştı:
> > > 0. References
> > >
> > >         CVE-2006-2449
> > >
> > >
> > > 1. Systems affected:
> > >
> > >       KDM as shipped with KDE 3.2.0 up to including 3.5.3. KDE 3.1.xand
> > >       older and newer versions than KDE 3.5.3 are not affected.
> > >
> > >
> > > 2. Overview:
> > >
> > >       KDM allows the user to select the session type for login. This
> > >         setting is permanently stored in the user home directory. By
> > >         using a symlink attack, KDM can be tricked into allowing the
> > >         user to read file content that would otherwise be unreadable
> > >         to this particular user. This vulnerability was discovered
> > >       and reported by Ludwig Nussel.
> > >
> > >
> > > 3. Impact:
> > >
> > >       KDM might allow a normal user to read the content of /etc/shadow
> > >         or other files, which allows compromising the privacy of
> another
> > >         user or even the security of the whole system.
> > >
> > > 4. Solution:
> > >
> > >         Source code patches have been made available which fix these
> > >         vulnerabilities. Contact your OS vendor / binary package
> provider
> > >         for information about how to obtain updated binary packages.
> > >
> > >
> > > 5. Patch:
> > >
> > >         A patch for KDE 3.4.0 - KDE 3.5.3 is available from
> > >         ftp://ftp.kde.org/pub/kde/security_patches :
> > >
> > >       9daecff07d57dabba35da247e752916a  post-3.5.0-kdebase-kdm.diff
> > >
> > >         A patch for KDE 3.3.x is available from
> > >         ftp://ftp.kde.org/pub/kde/security_patches :
> > >
> > >       f2e1424d97f2cd18674bef833274c5e3  post-3.3.0-kdebase-kdm.diff
> > >
> > >         A patch for KDE 3.2.x is available from
> > >         ftp://ftp.kde.org/pub/kde/security_patches :
> > >
> > >       8aa6b41cccca4216c6eb1cf705c2370a  post-3.2.0-kdebase-kdm.diff
> > _______________________________________________
> > Pardus-kullanicilari mailing list
> > Pardus-kullanicilari at uludag.org.tr
> > http://liste.uludag.org.tr/mailman/listinfo/pardus-kullanicilari
> >
>
>
> --
> Ömer Fadıl USTA
> http://www.bilisimlab.com/
> _______________________________________________
> Pardus-kullanicilari mailing list
> Pardus-kullanicilari at uludag.org.tr
> http://liste.uludag.org.tr/mailman/listinfo/pardus-kullanicilari
>



-- 
BuÄŸrahan Korkmaz
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: http://liste.uludag.org.tr/pardus-kullanicilari/attachments/20060615/aa642b25/attachment.html