The KDE team により、K Desktop Environment に幾つかの脆弱性が発見されました。ある条件下で KDE は命令のパラメータを実行のためのシェルに渡す前に、 適切なクォーティング処理を行っていません。これらのパラメータは URL や、ファイル名や、電子メールアドレス、およびそれらが混ざったもので、 攻撃対象のマシンに電子メール、ウェブページ、 ネットワークファイルシステムやその他の信用できない経路から与えることができます。
そのようなデータを注意深く作成することにより、 攻撃者は対象の脆弱性を持つシステムで、 犠牲者のアカウントと権限で任意のコードの実行が行える可能性があります。KDE プロジェクトではそのような攻撃手法を現在の所把握していません。 このパッチは、同時に複数の箇所で信用できない出所のデータのセーフガードと チェックを強化しています。
現安定版 (stable) (woody) では、これはバージョン 2.2.2-8.2 で修正されています。但し、両 MIPS アーキテクチャでは、kdemultimedia パッケージではコンパイラの内部エラーとなるため、 これらのアーキテクチャでは更新版のパッケージの提供はできませんでした。
旧安定版 (potato) には KDE が収録されていないため、 この問題の影響を受けません。
不安定版 (unstable) (sid) では、これらの問題は修正されないと思われますが、 sid 向けの KDE 3.1 の新パッケージが今年予定されています。
すぐに kdemultimedia パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。