| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als kritisch klassifizierte Schwachstelle in KDE Konqueror bis 3.3.2 entdeckt. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente Java Sandbox. Die Manipulation führt zu erweiterte Rechte. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2004-1145 gehandelt. Der Angriff lässt sich über das Netzwerk starten. Desweiteren ist ein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Konqueror ist ein immer populärer werdender grafischer Webbrowser für den allseits beliebten KDE Window Manager. KDE ist die standardmässig installierte grafische Oberfläche bei so mancher Linux-Distribution (z.B. SuSE). Heise Security meldete eine Design-Schwachstelle im Sandbox-Modell von Java unter KDE Konqueror bis 3.3.2. So sei es unter anderem Möglich, erweiterte Schreibrechte zu erlangen. Das KDE Team hat sehr schnell mit einem Fix und einer aktualisierten Konqueror Version reagiert. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (18596), Tenable (16407), SecurityFocus (BID 12046†), OSVDB (12512†) und Secunia (SA13586†) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Für den Vulnerability Scanner Nessus wurde am 14.02.2005 ein Plugin mit der ID 16407 (GLSA-200501-16 : Konqueror: Java sandbox vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Gentoo Local Security Checks zugeordnet und im Kontext l ausgeführt.
Zwar hat das KDE Team sehr schnell reagiert und das Problem schon drei Tage nach Meldung durch Heise Security im KDE CVS behoben. Das öffentliche Advisory wurde jedoch erst rund zwei Wochen später gemacht. Dies hätte man durchaus effizienter und für die Enbenutzer eleganter lösen können.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://kde.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.0VulDB Meta Temp Score: 6.3
VulDB Base Score: 7.0
VulDB Temp Score: 6.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 16407
Nessus Name: GLSA-200501-16 : Konqueror: Java sandbox vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 54802
OpenVAS Name: Gentoo Security Advisory GLSA 200501-16 (Konqueror, kde, kdelibs)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
Exposure Time: 🔍
Patch: kde.org
Timeline
06.12.2004 🔍15.12.2004 🔍
20.12.2004 🔍
20.12.2004 🔍
20.12.2004 🔍
20.12.2004 🔍
20.12.2004 🔍
20.12.2004 🔍
06.01.2005 🔍
11.01.2005 🔍
14.02.2005 🔍
27.02.2005 🔍
16.12.2024 🔍
Quellen
Hersteller: kde.orgAdvisory: kde.org
Person: http://www.heise.de/security/
Firma: Heise Security
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2004-1145 (🔍)
GCVE (CVE): GCVE-0-2004-1145
GCVE (VulDB): GCVE-100-1074
OVAL: 🔍
CERT: 🔍
X-Force: 18596 - Konqueror bypass sandbox restriction, Medium Risk
SecurityFocus: 12046 - KDE Konqueror Multiple Remote Java Sandbox Bypass Vulnerabilities
Secunia: 13586 - KDE Konqueror Java Sandbox Security Bypass Vulnerabilities, Highly Critical
OSVDB: 12512 - KDE Konqueror Restricted Class Access Java Sandbox Bypass
Vulnerability Center: 7156 - Multiple Vulnerabilities in Konqueror in KDE <= 3.3.1, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 06.01.2005 16:06Aktualisierung: 16.12.2024 08:37
Anpassungen: 06.01.2005 16:06 (96), 30.06.2019 17:37 (2), 16.12.2024 08:37 (20)
Komplett: 🔍
Cache ID: 216:715:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.