KDE-teamet har opdaget flere sårbarheder i K Desktop Environment. I nogle tilfælde får KDE ikke indsat citationstegn omkring instuktionsparametre som overføres til kommandoshell'en til udførelse. Disse parametre kan indeholde data såsom URL'er, filnavne og e-mail-adresser, og disse data kan blive leveret udefra til offeret i en e-mail, en webside, filer på et netværksfilsystem eller en anden kilde man ikke kan stole på.
Ved omhyggeligt at fremstille sådanne data, kan en angriber opnå mulighed for at udføre vilkårlige kommandoer på et sårbart system, ved hjælp af offerets konto og rettigheder. KDE-projektet kender ikke til udnyttelser af disse sårbarheder. Rettelserne sørger også for bedre sikkerhedsforanstaltninger, og udfører mange steder grundigere kontroller af data, der er modtaget fra kilder man ikke kan stole på.
I den aktuelle stabile distribution (woody) er disse problemer rettet i version 2.2.2-8.2. Bemærk, at vi ikke er i stand til at levere opdaterede pakker til de to MIPS-arkitekturer, da oversættelse af kdemultimedia udløser en intern kompilerfejl på disse maskiner.
Den gamle stabile distribution (potato) indeholder ikke KDE-pakker.
I den ustabile distribution (sid) er det overvejende sandsynligt at disse problemer ikke vil blive rettet, men der forventes nye KDE 3.1-pakker i sid i år.
Vi anbefaler at du opgraderer dine KDE-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.