Mandriva Linux 安全性公告:kdelibs4 (MDVSA-2011:162)
high Nessus Plugin ID 56687
語系:
概要
遠端 Mandriva Linux 主機缺少一或多個安全性更新。說明
在 kdelibs4 中發現多個弱點並已更正:在 kdelibs 中,KDE KSSL 並未針對 X.509 憑證的主體別名欄位,正確處理網域名稱中的 \'\0\' (NUL) 字元,這可能會讓攔截式攻擊者透過由合法憑證授權單位所核發之特製憑證,偽造任意 SSL 伺服器,這是和 CVE-2009-2408 有關的問題 (CVE-2009-2702)。
在 KSSL (KDE SSL Wrapper) API 中發現一個輸入清理瑕疵。攻擊者可將特製的 SSL 憑證 (例如透過網頁) 提供給使用 KSSL 的應用程式,例如 Konqueror 網頁瀏覽器,讓使用者看到誤導的資訊,並可能誘騙使用者接受前述憑證為有效憑證 (CVE-2011-3365)。
已修補更新版套件,以更正這些問題。
解決方案
更新受影響的套件。Plugin 詳細資訊
嚴重性: High
ID: 56687
檔案名稱: mandriva_MDVSA-2011-162.nasl
版本: 1.13
類型: local
已發布: 2011/11/2
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:mandriva:linux:lib64kprintutils4, p-cpe:/a:mandriva:linux:lib64kpty4, p-cpe:/a:mandriva:linux:lib64krosscore4, p-cpe:/a:mandriva:linux:lib64krossui4, p-cpe:/a:mandriva:linux:lib64ktexteditor4, p-cpe:/a:mandriva:linux:libkmediaplayer4, p-cpe:/a:mandriva:linux:libknewstuff2_4, p-cpe:/a:mandriva:linux:libknewstuff34, p-cpe:/a:mandriva:linux:libknewstuff3_4, p-cpe:/a:mandriva:linux:libknotifyconfig4, p-cpe:/a:mandriva:linux:libkntlm4, p-cpe:/a:mandriva:linux:libkparts4, p-cpe:/a:mandriva:linux:libkprintutils4, p-cpe:/a:mandriva:linux:lib64kunitconversion4, p-cpe:/a:mandriva:linux:lib64kunittest4, p-cpe:/a:mandriva:linux:lib64kutils4, p-cpe:/a:mandriva:linux:lib64nepomuk4, p-cpe:/a:mandriva:linux:lib64nepomukquery4, p-cpe:/a:mandriva:linux:lib64nepomukutils4, p-cpe:/a:mandriva:linux:lib64plasma3, p-cpe:/a:mandriva:linux:lib64solid4, p-cpe:/a:mandriva:linux:lib64threadweaver4, p-cpe:/a:mandriva:linux:libkatepartinterfaces4, p-cpe:/a:mandriva:linux:libkcmutils4, p-cpe:/a:mandriva:linux:libkde3support4, p-cpe:/a:mandriva:linux:libkdecore5, p-cpe:/a:mandriva:linux:libkdefakes5, p-cpe:/a:mandriva:linux:libkdesu5, p-cpe:/a:mandriva:linux:libkdeui5, p-cpe:/a:mandriva:linux:libkdewebkit5, p-cpe:/a:mandriva:linux:libkdnssd4, p-cpe:/a:mandriva:linux:libkemoticons4, p-cpe:/a:mandriva:linux:libkfile4, p-cpe:/a:mandriva:linux:libkhtml5, p-cpe:/a:mandriva:linux:libkidletime4, p-cpe:/a:mandriva:linux:libkimproxy4, p-cpe:/a:mandriva:linux:libkio5, p-cpe:/a:mandriva:linux:libkjs4, p-cpe:/a:mandriva:linux:libkjsapi4, p-cpe:/a:mandriva:linux:libkjsembed4, p-cpe:/a:mandriva:linux:kdelibs4-core, p-cpe:/a:mandriva:linux:kdelibs4-devel, p-cpe:/a:mandriva:linux:lib64katepartinterfaces4, p-cpe:/a:mandriva:linux:lib64kcmutils4, p-cpe:/a:mandriva:linux:lib64kde3support4, p-cpe:/a:mandriva:linux:lib64kdecore5, p-cpe:/a:mandriva:linux:lib64kdefakes5, p-cpe:/a:mandriva:linux:lib64kdesu5, p-cpe:/a:mandriva:linux:lib64kdeui5, p-cpe:/a:mandriva:linux:lib64kdewebkit5, p-cpe:/a:mandriva:linux:lib64kdnssd4, p-cpe:/a:mandriva:linux:lib64kemoticons4, p-cpe:/a:mandriva:linux:lib64kfile4, p-cpe:/a:mandriva:linux:lib64khtml5, p-cpe:/a:mandriva:linux:lib64kidletime4, p-cpe:/a:mandriva:linux:lib64kimproxy4, p-cpe:/a:mandriva:linux:lib64kio5, p-cpe:/a:mandriva:linux:lib64kjs4, p-cpe:/a:mandriva:linux:lib64kjsapi4, p-cpe:/a:mandriva:linux:lib64kjsembed4, p-cpe:/a:mandriva:linux:lib64kmediaplayer4, p-cpe:/a:mandriva:linux:lib64knewstuff2_4, p-cpe:/a:mandriva:linux:lib64knewstuff34, p-cpe:/a:mandriva:linux:lib64knewstuff3_4, p-cpe:/a:mandriva:linux:lib64knotifyconfig4, p-cpe:/a:mandriva:linux:lib64kntlm4, p-cpe:/a:mandriva:linux:lib64kparts4, p-cpe:/a:mandriva:linux:libkpty4, p-cpe:/a:mandriva:linux:libkrosscore4, p-cpe:/a:mandriva:linux:libkrossui4, p-cpe:/a:mandriva:linux:libktexteditor4, p-cpe:/a:mandriva:linux:libkunitconversion4, p-cpe:/a:mandriva:linux:libkunittest4, p-cpe:/a:mandriva:linux:libkutils4, p-cpe:/a:mandriva:linux:libnepomuk4, p-cpe:/a:mandriva:linux:libnepomukquery4, p-cpe:/a:mandriva:linux:libnepomukutils4, p-cpe:/a:mandriva:linux:libplasma3, p-cpe:/a:mandriva:linux:libsolid4, p-cpe:/a:mandriva:linux:libthreadweaver4, cpe:/o:mandriva:linux:2010.1, cpe:/o:mandriva:linux:2011
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2011/11/1
參考資訊
CVE: CVE-2009-2702, CVE-2011-3365
CWE: 310
MDVSA: 2011:162