漏洞信息详情

Konqueror跨域Cookie注入漏洞

  • CNNVD编号:CNNVD-200412-117
  • 危害等级: 高危
  • CVE编号: CVE-2004-0867
  • 漏洞类型: 权限许可和访问控制
  • 发布时间: 2004-08-23
  • 威胁类型: 远程
  • 更新时间: 2005-10-20
  • 厂        商: kde
  • 漏洞来源: KDE

漏洞简介

KDE是一款免费开放源代码X桌面管理程序。 KDE Konqueror浏览器不正确处理COOKIE信息,远程攻击者可以利用这个漏洞注入恶意数据到COOKIE中。 在受影响域下操作的WEB站点可以设置HTTP COOKIE,使Konqueror Web浏览器可以发送COOKIE信息到操作在相同域中其他WEB站点上。恶意WEB站点可以利用这个漏洞进行类似会话定置的攻击( http://www.acros.si/papers/session_fixation.pdf )。 此漏洞影响所有域第二级字符超过2个字符的域名,如:.ltd.uk, .plc.uk和.firm.in。 必须注意的是流行的域名如.co.uk, .co.in和.com不受此漏洞影响。

漏洞公告

厂商补丁: KDE --- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Patches for KDE 3.0.5b:

ftp://ftp.kde.org/pub/kde/security_patches :

3d83e3235d608176f47d84abdf78e96e post-3.0.5b-kdelibs-kcookiejar.patch

Patches for KDE 3.1.5:

ftp://ftp.kde.org/pub/kde/security_patches :

eec46dc123742c23819bd4c396eb87b6 post-3.1.5-kdelibs-kcookiejar.patch

Patches for KDE 3.2.3:

ftp://ftp.kde.org/pub/kde/security_patches :

ca12b078c7288ce9b2653e639a5b3ee0 post-3.2.3-kdelibs-kcookiejar.patch

参考网址

来源: bugzilla.mozilla.org 链接:https://bugzilla.mozilla.org/show_bug.cgi?id=252342 来源: XF 名称: web-browser-session-hijack(17415) 链接:http://xforce.iss.net/xforce/xfdb/17415 来源: BID 名称: 11186 链接:http://www.securityfocus.com/bid/11186 来源: SECTRACK 名称: 1011331 链接:http://securitytracker.com/id?1011331 来源: SECUNIA 名称: 12580 链接:http://secunia.com/advisories/12580/ 来源: BUGTRAQ 名称: 20040916 wp-04-0001: Multiple Browser Cookie Injection Vulnerabilities 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109536612321898&w=2 来源: kuza55.blogspot.com 链接:http://kuza55.blogspot.com/2008/02/understanding-cookie-security.html

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多