パスワードを忘れた? アカウント作成
771788 submission
セキュリティ

KDE Security Advisory: PS/PDF file handling vulner

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
!正式アナウンス前にたれこみましたが、発表はアナウンス後にお願いします。!
#正式アナウンスは、今日ぐらいのはずです。(http://www.kde.org/)
<概要>
KDEでは、 PostScript(PS) や PDFファイルを処理するために、Ghostscriptを 利用しています。そのモジュールのバグによりリモートもしくは、ローカルの攻撃者は、e-mail、webページ、ftpサーバなどを利用して、悪意のあるPostScriptもしくはPDFファイルを読み込ませることにより、 ファイルの削除、データへのアクセスや、任意のユーザ権(vicitim)でのシェルコマンドを実行することが可能になるようです。

<影響範囲>
すべてのKDE 2、
およびKDE 3.1.1以下のKDE 3バージョン。


<対応>
1.一時的な回避策(設定ファイル)
パッチやアップグレード版が出ても、それらの対応ができない 人たちの代替手段として、以下のファイルを削除しKDEを再スタート することにより一時的に問題回避ができるようです。
thumbnail.protocol
eps.kimgio
kghostview.desktop
kdvi.desktop

2.ソースパッチ
KDE 3.1.1のパッチ、KDE 3.0.5aのパッチ、KDE 2.2.2のパッチ が用意されていて、以下のURLに公開予定です。
ftp://ftp.kde.org/pub/kde/security_patches

3.kde 3.0.5b / kde 3.1.1aのリリース
KDE 3.1のコーディネータの Dirk Muellerによれば 今回のバグフィックス版であるkde 3.0.5b / kde 3.1.1aのリリースが予定 されています。

kde 3.0.5bにおいては、今回のセキュリティfixだけではなく。
以下のような累積しているバグをfixしたものがリリースされる予定です。
- KURL newline escaping fixes
- html thumbnail generator security improvements
- klipper uninitialized memory access fix
- khtml wrong assert, frequently triggered race fix
- kwin menubar handling fixes


<その他(今回の経緯)>
04/03/2003 Keith Winsteinより bugs.kde.orgへバグの報告がある。
04/06/2003 OS vendors / binary package providers に警告
04/07/2003 OS vendors / binary package providers にパッチの提供。
04/09/2003 KDE Security team からPublic Security Advisoryを公開する。

以下はKDE Security Advisoryで公開予定のアナウンス文です.(参考ために添付しておきます。)
=================================
KDE Security Advisory: PS/PDF file handling vulnerability
Original Release Date: 2003-04-09
URL: http://www.kde.org/info/security/advisory-20030409-1.txt

0. References
http://bugs.kde.org/show_bug.cgi?id=56808

1. Systems affected:

All KDE 2 and KDE 3 versions up to and including KDE 3.1.1.

2. Overview:

KDE is using Ghostscript software for processing of PostScript (PS)
and PDF files in a way that allows for the execution of arbitrary
commands that can be contained in such files.

An attacker can prepare a malicious PostScript or PDF file which will
provide the attacker with access to the victim's account and privileges
when the victim opens this malicious file for viewing or when the
victim browses a directory containing such malicious file and has
file previews enabled.

An attacker can provide malicious files remotely to a victim in an
e-mail, as part of a webpage, via an ftp server and possible other
means.

3. Impact:

The vulnerabilities potentially enable local or remote attackers
to compromise the privacy of a vicitim's data and to execute arbitrary
shell commands with the victim's privileges, such as erasing files or
accessing or modifying data.

4. Solution:

KDE 3.1.2 (?)

KDE 3.0.5b (?)

For affected KDE 2 systems, two patches for the 2.2.2 source code
have been made available which fixes these vulnerabilities. Contact
your OS vendor / binary package provider for information about how
to obtain updated binary packages.

People unable to upgrade to a version of KDE in which these problems
have been fixed can, as a temporary workaround, remove the following
files from their KDE installation:
thumbnail.protocol
eps.kimgio
kghostview.desktop
kdvi.desktop
After doing so KDE should be restarted. Note that this reduces KDE's
functionality in areas related to file previews, print previews and
limits the ability to handle PostScript (PS), PDF and DVI files.

5. Patch:

Patches for KDE 3.1.1 are available from

ftp://ftp.kde.org/pub/kde/security_patches :

a2ca01c77918b13464f2d1fc0858d6f0 post-3.1.1-kdebase-thumbnail.diff
38e2483c835239185c9c895e82079dea post-3.1.1-kdegraphics-kdvi.diff
a64ab67e3d5ab5fdbfe444fd6e1764b7 post-3.1.1-kdegraphics-kghostview.diff
9ef02df4d21b9040ef488b6f97e3e93a post-3.1.1-kdelibs-kimgio.diff


Patches for KDE 3.0.5a are available from

ftp://ftp.kde.org/pub/kde/security_patches :

b2e823b0a46ef2d949118f7fded7092e post-3.0.5a-kdebase-thumbnail.diff
8c783fbe36d25b30b4fc2c91777906a6 post-3.0.5a-kdegraphics-kdvi.diff
952ec6e4ddafd7d833106b78df2d342f post-3.0.5a-kdegraphics-kghostview.diff
604d8de4116d0a4c4896521b03884a06 post-3.0.5a-kdelibs-kimgio.diff


Patches for KDE 2.2.2 are available from

ftp://ftp.kde.org/pub/kde/security_patches :

002e297cb41705f9b744f6cc64e9d79e post-2.2.2-kdebase-thumbnail.diff
a0a87a2f7617e83c831d1a9c2588830e post-2.2.2-kdegraphics-kdvi.diff
1e7520b590e6573446487efb3995d8a3 post-2.2.2-kdegraphics-kghostview-2.diff
e2c50fb7c97e1fbc8939e30a30054e45 post-2.2.2-kdelibs-kimgio.diff


6. Timeline and credits:

04/03/2003 Keith Winstein reported problem to bugs.kde.org
04/06/2003 OS vendors / binary package providers alerted.
04/07/2003 OS vendors / binary package providers provided with
patches.
04/09/2003 Public Security Advisory by the KDE Security team.

=================================
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...