CERTA-2002-AVI-208
Vulnerability from certfr_avis

Konqueror ne détecte pas le drapeau ``secure'' dans un cookie HTTP. Il transmet donc ces cookies en clair sur le réseau.

Description

Les sites internet qui se basent uniquement sur un cookie pour l'identification de la session HTTP peuvent permettre à un utilisateur mal intentionné de récupérer cette session, car le cookie n'est pas chiffré avant son transfert.
Cette vulnérabilité peut aussi être utilisée pour se connecter sur un site se basant uniquement sur un cookie pour l'identification de l'utilisateur.

Solution

Mettre KDE à jour.
Les mises à jour sont disponibles en téléchargement sur le site de KDE (Consultez la section Documentation).

Tout système utilisant Konqueror en version 3.0, 3.0.1 ou 3.0.2 de KDE est vulnérable.
Les versions 2.2.2 et 3.0.3 de KDE ne sont pas vulnérables.

Impacted products
Vendor Product Description
References
Avis #20020908-1 de KDE None vendor-advisory

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eTout syst\u00e8me utilisant Konqueror en  version 3.0, 3.0.1 ou 3.0.2 de KDE est vuln\u00e9rable.\u003cBR\u003e  Les versions 2.2.2 et 3.0.3 de KDE ne sont pas vuln\u00e9rables.\u003c/p\u003e",
  "content": "## Description\n\nLes sites internet qui se basent uniquement sur un cookie pour\nl\u0027identification de la session HTTP peuvent permettre \u00e0 un utilisateur\nmal intentionn\u00e9 de r\u00e9cup\u00e9rer cette session, car le cookie n\u0027est pas\nchiffr\u00e9 avant son transfert.  \nCette vuln\u00e9rabilit\u00e9 peut aussi \u00eatre utilis\u00e9e pour se connecter sur un\nsite se basant uniquement sur un cookie pour l\u0027identification de\nl\u0027utilisateur.\n\n## Solution\n\nMettre KDE \u00e0 jour.  \nLes mises \u00e0 jour sont disponibles en t\u00e9l\u00e9chargement sur le site de KDE\n(Consultez la section Documentation).\n",
  "cves": [],
  "initial_release_date": "2002-09-13T00:00:00",
  "last_revision_date": "2002-09-13T00:00:00",
  "links": [],
  "reference": "CERTA-2002-AVI-208",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-09-13T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Vol de session"
    },
    {
      "description": "Divulgation de donn\u00e9es"
    }
  ],
  "summary": "Konqueror ne d\u00e9tecte pas le drapeau \\`\\`secure\u0027\u0027 dans un cookie HTTP. Il\ntransmet donc ces cookies en clair sur le r\u00e9seau.\n",
  "title": "Vuln\u00e9rabilit\u00e9 des cookies s\u00e9curis\u00e9s dans KDE",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis #20020908-1 de KDE",
      "url": "http://www.kde.org/info/security/advisory-20020908-1.txt"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.