DFN-CERT-2017-0375 KDE kio, kdelibs: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][Apple][Windows]

DFN-CERT-2017-0375 KDE kio, kdelibs: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Unix][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

kdelibs < 4.14.30 kio < 5.32 Betroffene Plattformen: Apple Mac OS X Unix Unix GNU/Linux Microsoft Windows Ein nicht authentisierter Angreifer im benachbarten Netzwerk kann eine Schwachstelle in KDE kio und kdelibs ausnutzen, um mit Hilfe einer präparierten PAC-Datei sensitive Informationen auszuspähen. Das KDE Project hat Patches zur Behebung der Schwachstelle bereitgestellt und kündigt Sicherheitsupdates auf kio 5.32 und kdelibs 4.14.30 an. Patch: KDE Project Security Advisory KDE-advisory-20170228-1 https://www.kde.org/info/security/advisory-20170228-1.txt

CVE-2017-6410: Schwachstelle in KDE kio und kdelibs ermöglicht Ausspähen von
Informationen

In ‘kpac/script.cpp’ in KDE kio bevor 5.32 und kdelibs bevor 4.14.30
existiert eine Schwachstelle aufgrund des Aufrufs der PAC-Funktion
‘FindProxyForURL()’ mit einer kompletten HTTPS URL, die unter Umständen
einfache Anmeldedaten (Basic Authentication Credentials), einen
Abfrage-String oder PATH_INFO enthält.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0375/

KDE Project Security Advisory KDE-advisory-20170228-1:
https://www.kde.org/info/security/advisory-20170228-1.txt

Schwachstelle CVE-2017-6410 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6410

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben