Vulnerabilidad en KDE kdelibs y kauth (CVE-2014-5033)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-362
Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
19/08/2014
Última modificación:
12/04/2025
Descripción
KDE kdelibs anterior a 4.14 y kauth anterior a 5.1 no utilizan debidamente D-Bus para la comunicación con una autoridad polkit, lo que permite a usuarios locales evadir las restricciones de acceso mediante el aprovechamiento de una condición de carrera PolkitUnixProcess PolkitSubject a través de un proceso (1) setuid o (2) pkexec, relacionado con el CVE-2013-4288 y 'condiciones de carrera de reuso PID.'
Impacto
Puntuación base 2.0
6.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:debian:kde4libs:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:12.04:-:lts:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:a:kde:kauth:*:*:*:*:*:*:*:* | 5.0 (incluyendo) | |
| cpe:2.3:a:kde:kdelibs:*:*:*:*:*:*:*:* | 4.13.97 (incluyendo) | |
| cpe:2.3:a:kde:kdelibs:4.10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:kde:kdelibs:4.10.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:kde:kdelibs:4.10.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:kde:kdelibs:4.10.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:kde:kdelibs:4.10.95:*:*:*:*:*:*:* | ||
| cpe:2.3:a:kde:kdelibs:4.10.97:*:*:*:*:*:*:* | ||
| cpe:2.3:a:kde:kdelibs:4.11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:kde:kdelibs:4.11.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:kde:kdelibs:4.11.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:kde:kdelibs:4.11.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-updates/2014-08/msg00012.html
- http://quickgit.kde.org/?p=kauth.git&a=commit&h=341b7d84b6d9c03cf56905cb277b47e11c81482a
- http://quickgit.kde.org/?p=kdelibs.git&a=commitdiff&h=e4e7b53b71e2659adaf52691d4accc3594203b23
- http://rhn.redhat.com/errata/RHSA-2014-1359.html
- http://secunia.com/advisories/60385
- http://secunia.com/advisories/60633
- http://secunia.com/advisories/60654
- http://www.debian.org/security/2014/dsa-3004
- http://www.kde.org/info/security/advisory-20140730-1.txt
- http://www.ubuntu.com/usn/USN-2304-1
- http://lists.opensuse.org/opensuse-updates/2014-08/msg00012.html
- http://quickgit.kde.org/?p=kauth.git&a=commit&h=341b7d84b6d9c03cf56905cb277b47e11c81482a
- http://quickgit.kde.org/?p=kdelibs.git&a=commitdiff&h=e4e7b53b71e2659adaf52691d4accc3594203b23
- http://rhn.redhat.com/errata/RHSA-2014-1359.html
- http://secunia.com/advisories/60385
- http://secunia.com/advisories/60633
- http://secunia.com/advisories/60654
- http://www.debian.org/security/2014/dsa-3004
- http://www.kde.org/info/security/advisory-20140730-1.txt
- http://www.ubuntu.com/usn/USN-2304-1