ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

  		 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkפרצת אבטחה ב-KDE: מאפשרת השתלטות מרחוק

published at 21/01/2006 - 11:36 · ‏פורסם mksoft · ‏tags אבטחת מידע · שלח לחברידידותי למדפסת
אבטחת מידע News.com מדווחים על פרצת אבטחה במפענח הג'אווהסקריפט של KDE אשר נעשה בו שימוש ב-konqueror וביישומי KDE אחרים. הפרצה מוגדרת קריטית מאחר והיא מאפשרת לתוקף אשר גולשים לאתרו להשתלט על המערכת בעזרת URI מסויים המקודד ביוניקוד.

גרסאות 3.2.0 עד 3.5.0 פגיעות. ישנם פאצ'ים לקוד המקור ועדכונים בינאריים של ההפצות (כמו מ-SuSE לדוגמא). לא לשכוח לעדכן.



 

קישורים רלוונטיים

· עוד על אבטחת מידע
· חדשות מאת mksoft

הסיפור הנקרא ביותר בנושא אבטחת מידע:
האקרים עדכנו גרסה עם 'דלת אחורית' בשרת הפרוייקט sendmail.org

פרצת אבטחה ב-KDE: מאפשרת השתלטות מרחוק | כניסה / יצירת מנוי חדש | 6 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
לעדכן לְמה? (ניקוד: 0)
ע"י פינגווין אנונימי ב 21/01/2006 - 12:36
אילו הפצות כבר הוציאו עדכונים?

http://lwn.net/Vulnerabilities/168492
כמוכן העדכון של מנדרייק עדיין לא רשום שם:
http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:019
לא ראיתי עדכון של גנטו ושל סלקוור.

למי ש(לא כמוני) עובד עם KDE כשולחן העבודה אבל (כמוני) נוהג להשאיר את שולחן העבודה עובד במשך ימים שלמים: הבעיה שמתוקנת כאן היא בעיה בספרית מערכת מסויימת . גם לאחר שהרצתם את העדכון, תהליכים שהתמשו בעותק הישן של הספריה ימשיכו להשתמש בו. לכן מומלץ למשתמשי KDE להתנתק משולחן העבודה הקיים ולהתחבר מחדש.

(למרות שזה מעצבן)

יש לציין כאן שההתייחסות לנקודה הזו הופיעה (מבין הודעות העדכון שמקושרות לידיעה דלעיל) רק בהודעות העדכון של סוזה ושל אובונטו. היא לא הופיעה בהודעות העדכון של דביין, רד־האט ופדורה.

כמוכן:
* אם אתם עובדים ישירות מ־LiveCD שכולל KDE: יש גם אצלו את החור הזה.
* אם המערכת שלכם הותקנה מ־LiveCD: יש לכם דרך להשיג עדכוני אבטחה?
* העדכון של פדורה הוא רק עבוד FC4. לגרסאות קודמות יותר: חכו עד שאנשי FedoraLegacy יתעוררו.
* העדכון של SuSE כולל חבילות עבור "SUSE 10.0". אני מניח שהעדכון הוא (גם?) עבור OpenSUSE.
* העדכון של דביין הוא "רק" עבור Sarge: משתמשי Etch: שימו לב כמה זמן ייקח לחבילות שיפתרו את הבעיה הזו להגיע אליכם.
* נקווה שגנטו (וסלקוור?) יוציעו עדכונים בקרוב. לא בדקתי
* ושוב, ציון לשבח ל־SuSE על הודעת תיקון רלוונטית ומפורטת. השוו אותה להודעה הלאקונית של רד־האט.

בברכה,

צפריר

[ השב לזאת ]

Re: לעדכן לְמה? (ניקוד: 1)
ע"י mksoft (meir@mksoft.co.il) ב 21/01/2006 - 12:41
(מידע על משתמש | שלח הודעה) http://mksoft.co.il/
בדקתי בג'נטו, הם עדיין לא הוציאו עדכונים.
בסלאק שנת 2006 לא מופיעה כלל ברשימת האזהרות (העדכון האחרון שם הוא מ-7 בנובמבר 2005).

[ השב לזאת ]

Re: לעדכן לְמה?(ניקוד: 1)
ע"י צחי_ ב 21/01/2006 - 15:49
(מידע על משתמש | שלח הודעה) http://www.mozilla.org.il
למי ש(לא כמוני) עובד עם KDE כשולחן העבודה אבל (כמוני) נוהג להשאיר את שולחן העבודה עובד במשך ימים שלמים: הבעיה שמתוקנת כאן היא בעיה בספרית מערכת מסויימת . גם לאחר שהרצתם את העדכון, תהליכים שהתמשו בעותק הישן של הספריה ימשיכו להשתמש בו. לכן מומלץ למשתמשי KDE להתנתק משולחן העבודה הקיים ולהתחבר מחדש.
המממ... ב-windows ברוב המקרים אתה מחוייב לאתחל את המחשב לאחר עדכון. יכול להיות שיש פה בעיה במנגנון העדכון?

[ השב לזאת ]

Re: לעדכן לְמה? (ניקוד: 1)
ע"י CooL_SPoT (linuxfun@email.com) ב 21/01/2006 - 17:53
(מידע על משתמש | שלח הודעה) http://linuxfun.whatsup.org.il
לא
הבעיה היא שהספריות טעונות בזכרון, ובגלל זה מומלץ להפעילן מחדש, כמו שאתה מעדכן תוכנה ואתה מחוייב להפעילה מחדש, כנ"ל ספריות שולחן העבודה...
אין צורך לעשות ריסט לכל המחשב, רק לדברים שעודכנו, שבמקרה הזה זה שולחן העבודה.
אם הייתה מעדכן את הקרנל אז היית צריך לעשות ריסט, הכל תלוי באפליקציה שעודכנה.
כמה שהאפלקציה יותר כללית ככה תצטרך להפעיל את כל הדברים שמבוססים עליה מחדש.
אם נגיד היית מעדכן את kcalc אז כל מה שהיה עליך לעשות הוא לאתחל את התוכנה.

[ השב לזאת ]

Re: לעדכן לְמה?(ניקוד: 0)
ע"י פינגווין אנונימי ב 21/01/2006 - 19:15
It's not a bug. It's a feature.‎

אני בטוח שיש כאן איפהשהו הסברים למה מחיקה היא בעצם unlink. בפרט אם אתה מעדכן ספריה ועושה את זה כמו שצריך, אתה משתמש בפעולת המחיקה הרגילה כדי למחוק את העותק הישן ומוסיף את החדש. כתוצאה מכך אם ספריה מסויימת עדיין בשימוש ע"י תוכנית, היא תשאר על הדיסק.

ישנם מקרים שבהם מתחילים מחדש תהליכים לאחר עדכון ספריות. עדכון של libc6‏ (glibc) בדביין יגרור אחריו נסיון להתחיל מחדש כמעט כל מה שאפשר ללא נזק. כולל בקשה מתהליך ה־init לטעון את עצמו מחדש.

אבל מצד שני, אתה לא רוצה שכל עדכון ספריה קטן ינתק את כל המשתמשים. אתה הרי יודע בכמה ספריות משתמש KDE.

[ השב לזאת ]
Re: פרצת אבטחה ב-KDE: מאפשרת השתלטות מרחוק (ניקוד: 1)
ע"י CooL_SPoT (linuxfun@email.com) ב 21/01/2006 - 13:09
(מידע על משתמש | שלח הודעה) http://linuxfun.whatsup.org.il
העדכונים למנדריבה...
http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:019

[ השב לזאת ]