Wegen eines Versehens in der Sicherheitstechnik prüfte die von Konqueror verwendete SSL-Bibliothek von KDE nicht, ob ein Zwischen-Zertifikat für eine Verbindung von der Zertifizierungsstelle signiert ist, wie es für den Zweck sicher wäre, sondern akzeptierte sie einfach, wenn sie signiert ist. Dies machte es jedem mit einem gültigen VeriSign SSL Site-Zertifikat möglich, jedes andere VeriSign SSL Site-Zertifikat zu fälschen und Konqueror-Benutzer zu missbrauchen.
Eine lokale root-Ausbeutung im artsd wurde entdeckt, die durch eine unsichere Verwendung einer Format-Zeichenkette ausgenutzt werden kann. Die Ausbeutung funktionierte nicht auf einem Debian-System, da artsd nicht mit setuid root läuft. Weder artsd noch artswrapper müssen noch setuid root gesetzt werden, da aktuelle Computer-System schnell genug sind, die Audio-Daten zeitgerecht zu behandeln.
Diese Probleme wurden in Version 2.2.2-13.woody.2 für die aktuelle Distribution "stable" (Woody) behoben. Die alte Distribution "stable" (Potato) ist nicht davon betroffen, da sie keine KDE-Pakete enthielt. Die Distribution "unstable" (Sid) ist noch nicht repariert, aber neue Pakete werden erwartet. Die reparierte Version wird Version 2.2.2-14 oder größer sein.
Wir empfehlen Ihnen, Ihre kdelibs- und libarts-Pakete zu aktualisieren und Konqueror neu zu starten.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.