发布日期:2010-04-15
更新日期:2010-04-16
受影响系统:
KDE KDE 2.2.0 - 4.4.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 39467
CVE ID: CVE-2010-0436
KDE是一个为UNIX工作站设计的强大的开源图形桌面环境。
KDE显示管理器(KDM)使用了属于用户的目录存储命令套接字。如果本地用户可以保护这个目录使其无法删除,就可以创建竞争条件将文件系统上任意文件的访问权限更改为完全可写,并利用这个文件以提升的权限执行任意代码。
<*来源:Sebastian Krahmer (krahmer@suse.de)
链接:
https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=570613
https://www.redhat.com/support/errata/RHSA-2010-0348.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
KDE
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
ftp://ftp.kde.org/pub/kde/security_patches/kdebase-workspace-4.3.5-CVE-2010-0436.diff
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2010:0348-01)以及相应补丁:
RHSA-2010:0348-01:Important: kdebase security update
链接:https://www.redhat.com/support/errata/RHSA-2010-0348.html本安全漏洞由