Mandriva Linux Security Advisory : kdenetwork4 (MDVSA-2010:098)

Medium Nessus Plugin ID 46664

Synopsis

The remote Mandriva Linux host is missing one or more security updates.

Description

Multiple vulnerabilities has been discovered and fixed in kget (kdenetwork4) :

Directory traversal vulnerability in KGet in KDE SC 4.0.0 through 4.4.3 allows remote attackers to create arbitrary files via directory traversal sequences in the name attribute of a file element in a metalink file (CVE-2010-1000).

KGet 2.4.2 in KDE SC 4.0.0 through 4.4.3 does not properly request download confirmation from the user, which makes it easier for remote attackers to overwrite arbitrary files via a crafted metalink file (CVE-2010-1511).

Packages for 2009.0 are provided due to the Extended Maintenance Program.

The corrected packages solves these problems.

Solution

Update the affected packages.

See Also

http://www.kde.org/info/security/advisory-20100513-1.txt

Plugin Details

Severity: Medium

ID: 46664

File Name: mandriva_MDVSA-2010-098.nasl

Version: 1.14

Type: local

Published: 2010/05/19

Updated: 2019/08/02

Dependencies: 12634

Risk Information

Risk Factor: Medium

CVSS v2.0

Base Score: 6.4

Temporal Score: 4.7

Vector: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P

Temporal Vector: CVSS2#E:U/RL:OF/RC:C

Vulnerability Information

CPE: p-cpe:/a:mandriva:linux:kde4-filesharing, p-cpe:/a:mandriva:linux:kdenetwork4, p-cpe:/a:mandriva:linux:kdenetwork4-core, p-cpe:/a:mandriva:linux:kdenetwork4-devel, p-cpe:/a:mandriva:linux:kdenetwork4-kopete-latex, p-cpe:/a:mandriva:linux:kdnssd, p-cpe:/a:mandriva:linux:kget, p-cpe:/a:mandriva:linux:kopete, p-cpe:/a:mandriva:linux:kppp, p-cpe:/a:mandriva:linux:kppp-provider, p-cpe:/a:mandriva:linux:krdc, p-cpe:/a:mandriva:linux:krfb, p-cpe:/a:mandriva:linux:lib64gadu_kopete1, p-cpe:/a:mandriva:linux:lib64iris_kopete1, p-cpe:/a:mandriva:linux:lib64kgetcore4, p-cpe:/a:mandriva:linux:lib64kopete4, p-cpe:/a:mandriva:linux:lib64kopete_oscar4, p-cpe:/a:mandriva:linux:lib64kopete_otr_shared1, p-cpe:/a:mandriva:linux:lib64kopete_videodevice4, p-cpe:/a:mandriva:linux:lib64kopeteaddaccountwizard1, p-cpe:/a:mandriva:linux:lib64kopetechatwindow_shared1, p-cpe:/a:mandriva:linux:lib64kopetecontactlist1, p-cpe:/a:mandriva:linux:lib64kopeteidentity1, p-cpe:/a:mandriva:linux:lib64kopeteprivacy1, p-cpe:/a:mandriva:linux:lib64kopetestatusmenu1, p-cpe:/a:mandriva:linux:lib64krdccore1, p-cpe:/a:mandriva:linux:lib64kyahoo1, p-cpe:/a:mandriva:linux:lib64oscar1, p-cpe:/a:mandriva:linux:libgadu_kopete1, p-cpe:/a:mandriva:linux:libiris_kopete1, p-cpe:/a:mandriva:linux:libkgetcore4, p-cpe:/a:mandriva:linux:libkopete4, p-cpe:/a:mandriva:linux:libkopete_oscar4, p-cpe:/a:mandriva:linux:libkopete_otr_shared1, p-cpe:/a:mandriva:linux:libkopete_videodevice4, p-cpe:/a:mandriva:linux:libkopeteaddaccountwizard1, p-cpe:/a:mandriva:linux:libkopetechatwindow_shared1, p-cpe:/a:mandriva:linux:libkopetecontactlist1, p-cpe:/a:mandriva:linux:libkopeteidentity1, p-cpe:/a:mandriva:linux:libkopeteprivacy1, p-cpe:/a:mandriva:linux:libkopetestatusmenu1, p-cpe:/a:mandriva:linux:libkrdccore1, p-cpe:/a:mandriva:linux:libkyahoo1, p-cpe:/a:mandriva:linux:liboscar1, cpe:/o:mandriva:linux:2009.0, cpe:/o:mandriva:linux:2009.1, cpe:/o:mandriva:linux:2010.0

Required KB Items: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

Exploit Available: false

Exploit Ease: No known exploits are available

Patch Publication Date: 2010/05/18

Reference Information

CVE: CVE-2010-1000, CVE-2010-1511

BID: 40141

MDVSA: 2010:098