{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>KDE versions 2.x et 3.x jusqu'aux versions 3.0.4 et 3.1rc3  incluses.</P>","content":"## Description\n\nK Desktop Environnement (KDE) fournit une interface pour diff\u00e9rents\nprotocoles r\u00e9seau (HTTP, FTP, POP, SMB,...) via le syst\u00e8me KDE Input\nOutput (KIO).\n\nCe syst\u00e8me d\u00e9finit les caract\u00e9ristiques des protocoles dans des fichiers\ntexte dont l'extension est .protocol.  \n\nDeux protocoles pr\u00e9sentent une vuln\u00e9rabilit\u00e9 :\n\n-   rlogin pour toutes les versions de KDE de 2.1 \u00e0 3.0.4 ;\n-   telnet pour les versions de KDE 2.x.  \n\nCes vuln\u00e9rabilit\u00e9s permettent \u00e0 un utilisateur mal intentionn\u00e9\nd'ex\u00e9cuter des commandes arbitraires. Ces commandes peuvent \u00eatre\ntransmises par une URL habilement construite, un m\u00e9l au format HTML, ou\npar toute application utilisant KIO.\n\nLes commandes seront ex\u00e9cut\u00e9es avec les privil\u00e8ges de la victime.\n\n## Contournement provisoire\n\nPour d\u00e9sactiver ces deux protocoles, il suffit de d\u00e9truire les fichiers\n.protocol correspondants : telnet.protocol et rlogin.protocol.\n\nCes fichiers sont normalement install\u00e9s dans le r\u00e9pertoire\n/\\[kdeprefix\\]/shared/services/, o\u00f9 \\[kdeprefix\\] d\u00e9signe le r\u00e9pertoire\nd'installation de KDE.\n\nDes copies de ces fichiers peuvent exister ailleurs, notamment dans le\nr\u00e9pertoire .kde/shared/services des utilisateurs. Il faut \u00e9galement\nd\u00e9truire ces copies.\n\n## Solution\n\nLa version 3.0.5 corrige la vuln\u00e9rabilit\u00e9.  \n\nVous pouvez appliquer un correctif pour la version 3.0.4 (cf. section\nDocumentation). Pour les autres versions, il est recommand\u00e9 de mettre \u00e0\njour \u00e0 la version 3.0.5.\n","cves":[],"links":[],"reference":"CERTA-2002-AVI-255","revisions":[{"description":"version initiale.","revision_date":"2002-12-02T00:00:00.000000"},{"description":"premi\u00e8re r\u00e9vision : ajout de l'avis Debian.","revision_date":"2002-12-06T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de commandes arbitraires \u00e0 distance"}],"summary":"Une vuln\u00e9rabilit\u00e9 de la librairie KIO permet \u00e0 un utilisateur mal\nintentionn\u00e9 d'ex\u00e9cuter des commandes arbitraires.\n","title":"Vuln\u00e9rabilit\u00e9 de kdelibs","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 KDE","url":"http://www.kde.org/info/security/advisory-20021111-1.txt"},{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Mandrake MDKSA-2002:079","url":null}]}