Risque
Usurpation d'identité.
Systèmes affectés
Toutes les versions de KDE jusqu'à la version 3.0.2 incluse sont vulnérables.
Résumé
KDE ne vérifie pas tous les champs des certificats utilisés pour authentifier des pages Web ou pour signer des méls. Un utilisateur mal intentionné peut générer son propre certificat permettant une usurpation d'identité (attaque de type « man in the middle »).
Description
Les certificats au standard X.509 possèdent plusieurs champs d'options. Un de ces champs s'appelle « Basic Constraints Field » et indique la longueur maximum autorisée pour une chaine de certificats ainsi que si le certificat est d'autorité ou non. Les librairies de KDE ne vérifient pas ce champ et donc, un certificat, habilement conçu par un utilisateur mal intentionné, peut passer pour un certificat d'autorité.
Solution
- Installer la version 3.0.3 des librairies de KDE (kdelibs3.0.3) ;
- Un correctif est disponible pour kde 2.2.2 (Consulter la section Documentation).
Documentation
Avis #20020818-1 de KDE :
http://www.kde.org/info/security/advisory-20020818-1.txt
Correctif pour la version 2.2.2 de KDE :
ftp://ftp.kde.org/pub/kde/security_patches/
Bulletin de sécurité #DSA-155 de Debian :
http://www.debian.org/security/2002/dsa-155
Bulletin de sécurité #MDKSA-2002:058 de Mandrake :
http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-058.php