Neue Sicherheitspatches von KDE
Gleich 3 Sicherheitslücken hat das KDE-Security-Team innerhalb der letzten paar Tage schließen können. Dies berichtet Waldo Bastian in einem Eintrag auf KDE Dot News, der Info Seite von KDE.
Diese drei Sicherheitslücken bzw. Sicherheitsrisiken bestanden aus:
- Einer Sicherheitslücke durch das historische Bestehen einer Private Copy von libtiff in KFax
- Klartext Speicherung von Passwörtern vorzugsweise bei Links zu Samba-Shares
- Eine Internetseite konnte eigenen Inhalt im Konqueror in ein anderes geöffnetes Tab oder Fenster laden
Als schwerwiegendsten Fehler beschreibt Waldo Bastian das Fortbestehen einer Private Copy von libtiff. Aus diesem Grund konnte KFax nicht von den mittlerweile erschienenen Patches der offiziellen Version profitieren. KFax wurde in KDE 3.3.2 mittlerweile gefixt und die Private Copy entfernt. Aufgrund der Komplexität dieses Verfahrens stehen aber nun keine Sources mehr für ältere Versionen von KFax zur Verfügung. KDE geht davon aus, dass die Distributoren (Vendors) ihre Kunden mit geeigneten und gefixten Versionen ausstatten wird. Allen anderen wird geraten auf KDE 3.3.2 upzudaten.
Das Passwortproblem bestand darin, dass in Links zu Samba-Shares das Passwort in der URL als Klartext auftauchen kann. Diese Links können "world-readable" sein; also für jedermann einsehbar. Somit könnte man anhand der URL in dem Link das Passwort im Klartext mitlesen. Der Patch sorgt nun dafür, dass die Passwörter nicht mehr in der URL gespeichert werden sondern in KWallet - wo sie auch jeder vermutet hätte. Sicherheitshalber sollte aber jeder Nutzer von Samba-Shares seine Links per Rechtsklick/Eigenschaften auf Fragmente der Passwörter untersuchen und diese entfernen. Neu angelegte Links werden dann keine Passwörter mehr enthalten.
Wichtig zu erwähnen ist auch, dass das Window-Injection-Problem des Konquerors eigentlich schon im August hätte gefixt sein sollen. Die vorgeschlagene Lösung des Problems ging aber nur das Laden von fremden Inhalten in geöffneten Tabs an. Bei eigenständigen Fenstern versagte bestand das Sicherheitsrisiko weiter. Dieses Problem wurde nun behoben.
Eine Übersicht über alle KDE Security Advisories findet sich hier.