KDE Kommander未明任意脚本执行漏洞

发布日期：2005-04-25
更新日期：2005-04-27

受影响系统：

KDE KDE 3.4
KDE KDE 3.3.2
KDE KDE 3.3.1
KDE KDE 3.3
KDE KDE 3.2.3
KDE KDE 3.2.2
KDE KDE 3.2.1
KDE KDE 3.2
Gentoo Linux
KDE Quanta 3.1

描述：

---

BUGTRAQ ID: 13313
CVE(CAN) ID: CVE-2005-0754

Kommander是一款用于编辑和解释虚拟对话框并执行对话框操作附带脚本的虚拟编辑器和解释器。

Kommander未经用户确认便执行不可信任位置的数据文件。

由于这些文件可能包含有代码，因此用户可能无意中执行任意代码。

<*来源：Dirk Mueller （mueller@kde.org）

链接：http://www.kde.org/info/security/advisory-20050420-1.txt
http://security.gentoo.org/glsa/glsa-200504-23.xml
*>

建议：

---

厂商补丁：

KDE
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

KDE KDE 3.3.2:
KDE Patch post-3.3.2-kdewebdev-kommander.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-3.3.2-kdewebdev-kommander.diff

KDE KDE 3.4:
KDE Patch post-3.4.0-kdewebdev-kommander.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-3.4.0-kdewebdev-kommander.diff

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200504-23）以及相应补丁:
GLSA-200504-23：Kommander: Insecure remote script execution
链接：http://security.gentoo.org/glsa/glsa-200504-23.xml

所有kdewebdev用户都应升级到最新版本:

# emerge --sync
# emerge --ask --oneshot --verbose ">=kde-base/kdewebdev-3.3.2-r1"

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!