Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1033

[Generic/KDE] Schwachstellen bei der Kommandozeilen-Kommunikation
(2002-12-12 14:18:46.068592+00)


KDE verwendet teilweise die Kommandozeile, um Daten auszutauschen. Dadurch entstehen verschiedene Sicherheitsprobleme.

Betroffene Systeme

Einfallstor

  1. böswillige Webseite oder HTML-E-Mail-Nachricht (oder eine andere Quelle von URLs, die unter fremder Kontrolle steht)
  2. lokaler Account mit interaktivem Zugriff

Auswirkung

  1. Es kann beliebiger Programmcode mit den Rechten des Benutzers, der z.B. Konqueror verwendet, ausgeführt werden.
  2. Andere Benutzer können teilweise kritische Daten auslesen.

Typ der Verwundbarkeit

  1. shell command injection
  2. lokales Informationsleck

Gefahrenpotential

  1. hoch
  2. mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
KDE verwendet zur internen Kommunikation (mit anderen KDE-Komponenten oder Systemprogrammen) teilweise die Kommandozeile des darunterliegenden Betriebssystems. Dadurch entstehen zwei unterschiedliche Probleme:

  1. Falls ein URL (oder andere Daten aus externer, nicht vertrauenswürdiger Quelle) über die Kommandozeile an eine andere KDE-Komponente übergeben wird, interpretiert die Shell des Betriebssystems eventuell sogenante Shell Metacharacters, wodurch sich (nahezu) beliebige Shell-Befehle in URLs einbetten lassen, die dann auch ausgeführt werden.

  2. Auf typischen UNIX-Implementierungen sind die auf der Kommandozeile übergebenen Parameter für alle Benutzer des Systems einsehbar. Falls Paßwörter übergeben werden, können diese also von anderen (lokalen) Benutzern eingesehen werden.

Derzeit sind zwei konkrete Inkarnationen dieser Schwachstelle bekannt. Die erste Schwachstelle wird in einem Advisory von KDE beschrieben und betrifft URLs mit den Protokolltypen "rlogin" und telnet (letztere nur bei KDE 2.x), die zweite betrifft die Übergabe von Paßwörtern an smbclient beim Zugriff auf Drucker mittels kdeprint.

Gegenmaßnahmen

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1033