漏洞起因
设计错误
危险等级
低
影响系统
KDE kdelibs 4.2.4
+ Gentoo Linux
KDE kdelibs 3.5.10
+ Gentoo Linux
KDE kdelibs 3.5.5
+ Gentoo Linux
KDE kdelibs 3.5.4
+ Gentoo Linux
KDE kdelibs 3.5.2
+ Gentoo Linux
KDE kdelibs 3.4.3
+ Gentoo Linux
KDE kdelibs 3.4.2
+ Gentoo Linux
KDE kdelibs 3.4
+ Gentoo Linux
KDE kdelibs 3.3.2
+ Gentoo Linux
KDE kdelibs 3.3.1
+ RedHat Desktop 4.0
+ RedHat Enterprise Linux Desktop version 4
+ RedHat Enterprise Linux AS 4
+ RedHat Enterprise Linux ES 4
+ RedHat Enterprise Linux WS 4
KDE kdelibs 3.3
KDE kdelibs 3.2.2
+ KDE KDE 3.2.2
+ Red Hat Fedora Core2
KDE kdelibs 3.2.1
KDE kdelibs 3.2
+ Debian Linux 3.0 sparc
+ Debian Linux 3.0 s/390
+ Debian Linux 3.0 ppc
+ Debian Linux 3.0 mipsel
+ Debian Linux 3.0 mips
+ Debian Linux 3.0 m68k
+ Debian Linux 3.0 ia-64
+ Debian Linux 3.0 ia-32
+ Debian Linux 3.0 hppa
+ Debian Linux 3.0 arm
+ Debian Linux 3.0 alpha
+ Debian Linux 3.0
+ MandrakeSoft Corporate Server 3.0 x86_64
+ MandrakeSoft Corporate Server 3.0
+ MandrakeSoft Linux Mandrake 10.1 x86_64
+ MandrakeSoft Linux Mandrake 10.1
+ MandrakeSoft Linux Mandrake 10.0 AMD64
+ MandrakeSoft Linux Mandrake 10.0
KDE kdelibs 3.1.5
+ KDE KDE 3.1.5
KDE kdelibs 3.1.4
+ KDE KDE 3.1.4
KDE kdelibs 3.1.3
+ KDE KDE 3.1.3
+ MandrakeSoft Linux Mandrake 9.2 amd64
+ MandrakeSoft Linux Mandrake 9.2
KDE kdelibs 3.1.2
KDE kdelibs 3.1.1
+ KDE KDE 3.1.1
KDE kdelibs 3.1
+ KDE KDE 3.1
KDE kdelibs 3.0
+ KDE KDE 3.1
KDE kdelibs 2.1.2
+ KDE KDE 2.1.2
KDE kdelibs 2.1.1
+ KDE KDE 2.1.1
KDE kdelibs 2.1
+ KDE KDE 2.1
KDE kdelibs 2.0.1
+ KDE KDE 2.0.1
KDE kdelibs 2.0
+ KDE KDE 2.0
KDE kdelibs 4.6
+ Gentoo Linux
不受影响系统
KDE kdelibs 4.6.1
+ Gentoo Linux
危害
远程攻击者可以利用漏洞对应用程序进行中间人攻击,获得敏感信息。
攻击所需条件
攻击者必须访问链接KDELibs库的应用程序。
漏洞信息
KDELibs是创建在Qt框架之上,它提供框架和众多功能来开发KDE软体的基础库。
KDELibs中提供的代码检查服务器SSL证书的主机名存在漏洞。KDELibs代码能接收服务器颁发的指定主机名或主机名所解析的IP地址的证书作为合法证书。
如果攻击者可以获得可信CA颁发的指定攻击者控制IP地址的SSL证书,通过接触目标用户DNS解析,可执行中间人攻击,获得敏感信息。
测试方法
厂商解决方案
KDE kdelibs 4.6.1已经修复此漏洞,建议用户下载使用:
http://www.kde.org/
漏洞提供者
Tomas Hoger
0 条评论。