低危 KDE kmail###messagelib信息泄露

CVE编号

CVE-2017-9604

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-06-14

漏洞描述

5.5.2之前的KDE kmail和5.5.2之前的messagelib(在17.04.2之前的KDE应用程序中分发)不确保在使用“稍后发送”功能期间发生插件的签名或者加密操作，这允许远程攻击者通过嗅探网络获取敏感信息。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://cgit.kde.org/kmail.git/commit/?id=78c5552be2f00a4ac25bd77ca39386522fca70a8https://cgit.kde.org/messagelib.git/commit/?id=c54706e990bbd6498e7b1597ec7900bc809e8197

参考链接
https://commits.kde.org/kmail/78c5552be2f00a4ac25bd77ca39386522fca70a8
https://commits.kde.org/messagelib/c54706e990bbd6498e7b1597ec7900bc809e8197

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	kde	kmail	*		Up to (including) 5.5.1
	运行在以下环境
	应用	kde	messagelib	*		Up to (including) 5.5.1
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0
	运行在以下环境
	系统	debian_10	kf5-messagelib	*		Up to (excluding) 4:16.04.3-3
	运行在以下环境
	系统	debian_11	kf5-messagelib	*		Up to (excluding) 4:16.04.3-3
	运行在以下环境
	系统	debian_12	kf5-messagelib	*		Up to (excluding) 4:16.04.3-3
	运行在以下环境
	系统	debian_sid	kf5-messagelib	*		Up to (excluding) 4:16.04.3-3
	运行在以下环境
	系统	fedora_25	kmail-libs	*		Up to (excluding) 16.12.3-2.fc25
	运行在以下环境
	系统	fedora_26	kmail-libs	*		Up to (excluding) 17.04.1-2.fc26
	运行在以下环境
	系统	opensuse_Leap_42.2	knode	*		Up to (excluding) 16.08.2-5.2
	运行在以下环境
	系统	ubuntu_14.04	kdepim	*		Up to (excluding) 4:4.13.3-0ubuntu0.2
	运行在以下环境
	系统	ubuntu_14.04.6_lts	kdepim	*		Up to (excluding) 4:4.13.3-0ubuntu0.2
	运行在以下环境
	系统	ubuntu_16.04	kdepim	*		Up to (excluding) 4:15.12.3-0ubuntu1.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	kdepim	*		Up to (excluding) 4:15.12.3-0ubuntu1.1

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-311	敏感数据加密缺失

Exp相关链接

- avd.aliyun.com