[Pardus-kullanicilari] KDE'deki büyük açık Bilginize
Nihad Karslı
enki at r-3.org
15 Haz 2006 Per 20:37:14 EEST
ubuntu ve kubuntu kapattı o acığı...
Perşembe 15 Haziran 2006 20:35 tarihinde, Buğrahan Korkmaz şunları yazmıştı:
> Sanırım KDM...
>
> 15.06.2006 tarihinde Ömer F. USTA <omerusta at gmail.com> yazmış:
> > Merhaba
> > Sanırım biraz ayıp ettim. Kısa bir özeti şu şekilde
> > KDE nin grafiksel login ekranı olan KDM oturum türünün kullanıcı
> > tarafından
> > seçilmesini sağlamakta ve bunu her kullanıcının kendi dizininde bir
> > dosyada
> > tutmakta. Eğer sen bu dosyayı bir sembolik bağ ile değiştirirsen
> > /etc/shadow dahil bircok dosyayı okuma imkanın olur ki bu da sistemi
> > çözmen/kırman demektir. ( Bunun nasıl yapılabileceğini sorma çünkü bende
> > bilmiyorum :D )
> > Bu hatayı Ludwig Nussel isimli biri raporlamış. ve bu hata KDE'nin
> > 3.2.0 sürümünden
> > 3.5.3(yani şu anki son sürüm ) e kadar tüm KDE sürümlerinde mevcut.
> > Bu açığı kapatan yamayı ftp://ftp.kde.org/pub/kde/security_patches
> > adresinden indirebilirsin
> > (ama sanırım orda sadece .diff şeklinde bulunacaktır ve source koda
> > yapılabilecek bir
> > patchtir (muhtemelen ). Pardus veya diğer dağıtımlar için yama sanırım
> > henüz hazır değil)
> >
> > Not: Pardus KDM mi GDM mi kullanıyordu ?
> >
> > On 6/15/06, mengucek <mengucek at gmail.com> wrote:
> > > merhaba...
> > > kimbilir.. belki bir kardeşimiz çıkar ve bu "büyük açığın" Türkçe
> >
> > mealini..
> >
> > > ucundan-bucağından azıcık açıklar :)
> > > hatta.. lazımsa-gerekliyse-mümkünse.. şunu-şöyle yap deyiverir..
> > > çünkü.. benim bu ingilizce balığını tutmayı öğrenmem çoook uzun iş :)
> > > hoşça kalın :)
> > >
> > > Perşembe 15 Haziran 2006 10:36 tarihinde, Ömer F. USTA şunları yazmıştı:
> > > > 0. References
> > > >
> > > > CVE-2006-2449
> > > >
> > > >
> > > > 1. Systems affected:
> > > >
> > > > KDM as shipped with KDE 3.2.0 up to including 3.5.3. KDE
> > > > 3.1.xand older and newer versions than KDE 3.5.3 are not affected.
> > > >
> > > >
> > > > 2. Overview:
> > > >
> > > > KDM allows the user to select the session type for login. This
> > > > setting is permanently stored in the user home directory. By
> > > > using a symlink attack, KDM can be tricked into allowing the
> > > > user to read file content that would otherwise be unreadable
> > > > to this particular user. This vulnerability was discovered
> > > > and reported by Ludwig Nussel.
> > > >
> > > >
> > > > 3. Impact:
> > > >
> > > > KDM might allow a normal user to read the content of
> > > > /etc/shadow or other files, which allows compromising the privacy of
> >
> > another
> >
> > > > user or even the security of the whole system.
> > > >
> > > > 4. Solution:
> > > >
> > > > Source code patches have been made available which fix these
> > > > vulnerabilities. Contact your OS vendor / binary package
> >
> > provider
> >
> > > > for information about how to obtain updated binary packages.
> > > >
> > > >
> > > > 5. Patch:
> > > >
> > > > A patch for KDE 3.4.0 - KDE 3.5.3 is available from
> > > > ftp://ftp.kde.org/pub/kde/security_patches :
> > > >
> > > > 9daecff07d57dabba35da247e752916a post-3.5.0-kdebase-kdm.diff
> > > >
> > > > A patch for KDE 3.3.x is available from
> > > > ftp://ftp.kde.org/pub/kde/security_patches :
> > > >
> > > > f2e1424d97f2cd18674bef833274c5e3 post-3.3.0-kdebase-kdm.diff
> > > >
> > > > A patch for KDE 3.2.x is available from
> > > > ftp://ftp.kde.org/pub/kde/security_patches :
> > > >
> > > > 8aa6b41cccca4216c6eb1cf705c2370a post-3.2.0-kdebase-kdm.diff
> > >
> > > _______________________________________________
> > > Pardus-kullanicilari mailing list
> > > Pardus-kullanicilari at uludag.org.tr
> > > http://liste.uludag.org.tr/mailman/listinfo/pardus-kullanicilari
> >
> > --
> > Ömer Fadıl USTA
> > http://www.bilisimlab.com/
> > _______________________________________________
> > Pardus-kullanicilari mailing list
> > Pardus-kullanicilari at uludag.org.tr
> > http://liste.uludag.org.tr/mailman/listinfo/pardus-kullanicilari
Pardus-kullanicilari mesaj listesiyle ilgili
daha fazla bilgi