发布日期：2002-09-08
更新日期：2002-09-16

受影响系统：

KDE Konqueror the web browser 3.0.2
KDE Konqueror the web browser 3.0.1
KDE Konqueror the web browser 3.0
    - Linux系统

不受影响系统：

KDE Konqueror the web browser 3.0.3
KDE Konqueror the web browser 2.2.2

描述：

---

CVE(CAN) ID: CVE-2002-1152

Konqueror是一款KDE下默认安装的WEB浏览器。

KDE Konqueror处理HTTP Cookie中的安全标记不正确，远程攻击者可以利用这个漏洞进行会话或者帐户劫持攻击。

KDE Konqueror检测HTTP Cookie中的"secure"标记不正确，会导致通过不加密网络连接发送安全Cookie给原始连接的站点，如果一个安全会话只依靠这个Cookie来鉴别会话进程，就可能导致攻击者劫持这个会话，如果某个帐户只通过这个安全Cookie来判断是否能登录系统，就可以导致攻击者通过网络嗅探未加密连接以其他用户权限访问登录系统。

<*来源：Dirk Mueller （mueller@kde.org）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103175827225044&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时关闭KDE Konqueror的Cookie功能。

厂商补丁：

KDE
---
使用KDE 3.0，3.0.1，3.0.2的用户请使用如下补丁：

ftp://ftp.kde.org/pub/kde/security_patches

KDE 3.0.3不存在此漏洞，可以从如下地址获得：

ftp://ftp.kde.org/

浏览次数：4307
严重程度：0（网友投票）