Se ha descubierto una vulnerabilidad en Kate y KWrite (dos utilidades
contenidas en KDE) que pueden ser explotadas por usuarios locales para
acceder a información sensible.
KDE (K Desktop Environment) proporciona un entorno de escritorio
gráfico en los sistemas operativos Unix. Se trata de un proyecto
de código abierto, muy maduro y de gran calidad.
El problema de seguridad se debe a que los archivos de backup son
creados con permisos por defecto incluso cuando los archivos
originales tienen permisos más restrictivos. Esto podría ser explotado
por usuarios para acceder a información que normalmente tendrían
restringida.
El problema ha sido confirmado en todas las versiones de Kate y Kwrite
incluidas en las versiones de la 3.2.x a la 3.4.0 de KDE.
Se recomienda aplicar los parches disponibles en la siguiente
dirección:
ftp://ftp.kde.org/pub/kde/security_patches
KDE 3.2.x:
post-3.2.3-kdelibs-kate.diff (56667c05f545e8c9711c35bf78497bfd)
Para KDE 3.3.x:
post-3.3.2-kdelibs-kate.diff (138c3252883171d55ec24ed0318950fd)
Para KDE 3.4.0:
post-3.4.0-kdelibs-kate.diff (50f7bc6d8cf4b7aaa65e4e8062fc46c9)
jcanto@hispasec.com
Más información:
KDE Security Advisory: Kate backup file permission leak
http://www.kde.org/info/security/advisory-20050718-1.txt
