Un étude approfondie de la bibliothèque SSL de KDE, qui est utilisée par Konqueror, a démontré que cette bibliothèque ne contrôle pas si le certificat intermédiaire utilisé lors d'une connexion est signé par une autorité de certification, comme cela est préconisé, mais l'accepte dès lors qu'il est signé. Cela a pour conséquence que quiconque, possédant un certificat VeriSign SSL valide pour un site, peut fabriquer un autre certificat SSL VeriSign pour un autre site, et ainsi de tromper les utilisateurs de Konqueror.
Une exploitation locale du compte root a été découverte dans artsd ; cette exploitation utilise un format de chaîne non sécurisé. L'exploitation ne fonctionne pas sur un système Debian étant donné qu'artsd n'est pas exécuté avec un setuid root. Ni artsd, ni artswrapper n'ont désormais besoin du setuid root étant donné que les systèmes informatiques actuels sont suffisamment rapides pour le traitement des données audio.
Ces problèmes ont été corrigés dans la version 2.2.2-13.woody.2 pour l'actuelle distribution stable (Woody). L'ancienne distribution stable (Potato) n'est pas concernée, étant donné qu'elle ne contient pas de paquets KDE. La distribution unstable (Sid) n'est pas encore corrigée, mais de nouveaux paquets devraient prochainement arriver. La version corrigée sera la version 2.2.2-14 ou supérieure.
Nous vous recommandons de mettre à jour vos paquets kdelibs et libarts et de relancer Konqueror.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.