blob: 683165b5bb4eac08432f8679482e67b3adc61fea (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
<define-tag description>Privatsphären-Einbruch mit Konqueror</define-tag>
<define-tag moreinfo>
<p>Wegen eines Versehens in der Sicherheitstechnik prüfte die von Konqueror
verwendete SSL-Bibliothek von KDE nicht, ob ein Zwischen-Zertifikat für eine
Verbindung von der Zertifizierungsstelle signiert ist, wie es für den Zweck
sicher wäre, sondern akzeptierte sie einfach, wenn sie signiert ist. Dies
machte es jedem mit einem gültigen VeriSign SSL Site-Zertifikat möglich, jedes
andere VeriSign SSL Site-Zertifikat zu fälschen und Konqueror-Benutzer zu
missbrauchen.</p>
<p>Eine lokale root-Ausbeutung im artsd wurde entdeckt, die durch eine
unsichere Verwendung einer Format-Zeichenkette ausgenutzt werden kann. Die
Ausbeutung funktionierte nicht auf einem Debian-System, da artsd nicht mit
setuid root läuft. Weder artsd noch artswrapper müssen noch setuid root
gesetzt werden, da aktuelle Computer-System schnell genug sind, die
Audio-Daten zeitgerecht zu behandeln.</p>
<p>Diese Probleme wurden in Version 2.2.2-13.woody.2 für die aktuelle
Distribution "stable" (Woody) behoben. Die alte Distribution "stable"
(Potato) ist nicht davon betroffen, da sie keine KDE-Pakete enthielt. Die
Distribution "unstable" (Sid) ist noch nicht repariert, aber neue Pakete
werden erwartet. Die reparierte Version wird Version 2.2.2-14 oder größer
sein.</p>
<p>Wir empfehlen Ihnen, Ihre kdelibs- und libarts-Pakete zu aktualisieren und
Konqueror neu zu starten.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-155.data"
#use wml::debian::translation-check translation="fbd7af7d4edfd4cf5cd8dc79ac4548e406bbf29d" maxdelta="1"
# $Id$
|
