Se han descubierto dos vulnerabilidades en kdebase:
KDM en KDE 3.1.3 y anteriores no verificaba si la llamada a la función pam_setcred terminaba con éxito, lo que podía permitir a los atacantes remotos obtener privilegios de root provocando condiciones de error en los módulos PAM, como se demostró con ciertas configuraciones del módulo del MIT pam_krb5.
KDM en KDE 3.1.3 y anteriores usaba un algoritmo débil de generación de cookie de sesión que no proporcionaba 128 bits de entropía, lo que permitía que los atacantes averiguaran las cookies de sesión por medio de métodos de fuerza bruta y obtuvieran acceso a la sesión del usuario.
Estas vulnerabilidades están descritas en los siguientes avisos de seguridad de KDE:
http://www.kde.org/info/security/advisory-20030916-1.txt
Para la distribución estable actual (woody), estos problemas se han corregido en la versión 4:2.2.2-14.7.
Para la distribución inestable (sid), estos problemas se corregirán en breve.
Le recomendamos que actualice el paquete kdebase.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.