K-splitter

KIO als Sicherheitslücke

Leider müssen wir auch in dieser Ausgabe wieder von Sicherheitslücken des KDE-Projekts berichten. Diesmal trifft es alle KDE-Versionen von 2.1 bis KDE 3.0.4 (inklusive des Release Candidate 3 der Version 3.1). Bei dem Security-Leck handelt es sich um eine Schwachstelle in der Art und Weise, wie sich der Internet-Dienst rlogin und bei den 2.x-Systemen zusätzlich telnet über URLs der Art rlogin:// bzw. telnet:// ansprechen lässt.

Auf den betroffenen Systemen erlaubt es die .protocol-Implementation dieser Dienste, KIO-basierte Anwendungen mit sorgfältig präparierten und zum Beispiel in HTML-Seiten oder HTML-E-Mails untergebrachten URLs beliebige Befehle auf dem System ausführen zu lassen. Quellcode-Patches, die diese Löcher stopfen, stehen für die KDE-Versionen 3.0.x unter ftp://ftp.kde.org/pub/kde/security_patches/ zum Download bereit. Wer nicht selbst kompilieren möchte, sollte zumindest das kdelibs-Paket direkt auf KDE 3.0.5 updaten.

Auf 2.xer Systemen legen Sie die rlogin- und telnet-KIO-Protokolle lahm. Löschen Sie dazu die Dateien rlogin.protocol und telnet.protocol, und starten Sie danach Ihre KDE-Sitzung neu. Bei Standardinstallationen finden Sie beide Dateien im Verzeichnis share/services unterhalb des KDE-Root-Directories.

Neues KDE-Forum öffnet seine Tore

Eine neue Anlaufstelle für wissbegierige deutschsprachige KDE-User gibt es seit Kurzem unter http://www.kde-forum.de/ (Abbildung 4). Generell richtet sich die Seite eher an Endanwender, die dort die Möglichkeit erhalten, sich über ihre Probleme auszutauschen. Aber die Macher hoffen auch darauf, dass ab und an der eine oder andere KDE-Entwickler vorbeischaut, um den Nutzern mit Tipps und Tricks bei besonders kniffligen Fragen unter die Arme zu greifen.

Abbildung 4: Das neue KDE-Forum hält hoffentlich Antworten auf all Ihre Fragen bereit