CERTA-2002-AVI-208

Vulnerability from certfr_avis - Published: - Updated:

Konqueror ne détecte pas le drapeau ``secure'' dans un cookie HTTP. Il transmet donc ces cookies en clair sur le réseau.

Description

Les sites internet qui se basent uniquement sur un cookie pour l'identification de la session HTTP peuvent permettre à un utilisateur mal intentionné de récupérer cette session, car le cookie n'est pas chiffré avant son transfert.
Cette vulnérabilité peut aussi être utilisée pour se connecter sur un site se basant uniquement sur un cookie pour l'identification de l'utilisateur.

Solution

Mettre KDE à jour.
Les mises à jour sont disponibles en téléchargement sur le site de KDE (Consultez la section Documentation).

Tout système utilisant Konqueror en version 3.0, 3.0.1 ou 3.0.2 de KDE est vulnérable.
Les versions 2.2.2 et 3.0.3 de KDE ne sont pas vulnérables.

Impacted products
Vendor Product Description
References
Avis #20020908-1 de KDE None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eTout syst\u00e8me utilisant Konqueror en  version 3.0, 3.0.1 ou 3.0.2 de KDE est vuln\u00e9rable.\u003cBR\u003e  Les versions 2.2.2 et 3.0.3 de KDE ne sont pas vuln\u00e9rables.\u003c/p\u003e",
  "content": "## Description\n\nLes sites internet qui se basent uniquement sur un cookie pour\nl\u0027identification de la session HTTP peuvent permettre \u00e0 un utilisateur\nmal intentionn\u00e9 de r\u00e9cup\u00e9rer cette session, car le cookie n\u0027est pas\nchiffr\u00e9 avant son transfert.  \nCette vuln\u00e9rabilit\u00e9 peut aussi \u00eatre utilis\u00e9e pour se connecter sur un\nsite se basant uniquement sur un cookie pour l\u0027identification de\nl\u0027utilisateur.\n\n## Solution\n\nMettre KDE \u00e0 jour.  \nLes mises \u00e0 jour sont disponibles en t\u00e9l\u00e9chargement sur le site de KDE\n(Consultez la section Documentation).\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-208",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-09-13T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Vol de session"
    },
    {
      "description": "Divulgation de donn\u00e9es"
    }
  ],
  "summary": "Konqueror ne d\u00e9tecte pas le drapeau \\`\\`secure\u0027\u0027 dans un cookie HTTP. Il\ntransmet donc ces cookies en clair sur le r\u00e9seau.\n",
  "title": "Vuln\u00e9rabilit\u00e9 des cookies s\u00e9curis\u00e9s dans KDE",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis #20020908-1 de KDE",
      "url": "http://www.kde.org/info/security/advisory-20020908-1.txt"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.