低危 kdeconnect-kde拒绝服务漏洞

CVE编号

CVE-2020-26164

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-10-08

漏洞描述

kdeconnect-kde是kde社区（kde）的一个使您的所有设备相互通信的项目。该软件可以实现以下等功能： 1 在台式计算机上接收电话通知并回复邮件；2 通过手机控制桌面上播放的音乐；3 将手机用作桌面的遥控器等功能。<br /> kdeconnect-kde 20.08.2之前版本存在拒绝服务漏洞。攻击者可通过在本地网络上发送特制的数据包利用该漏洞大量占用CPU、内存或者网络连接槽，最终导致拒绝服务。<br /> &nbsp;

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://bugzilla.suse.com/show_bug.cgi?id=1176268

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00016.html
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00018.html
http://www.openwall.com/lists/oss-security/2020/10/13/4
http://www.openwall.com/lists/oss-security/2020/10/13/5
http://www.openwall.com/lists/oss-security/2020/10/14/1
http://www.openwall.com/lists/oss-security/2020/11/30/1
https://bugzilla.suse.com/show_bug.cgi?id=1176268
https://github.com/KDE/kdeconnect-kde/commit/024e5f23db8d8ad3449714b906b46094baaffb89
https://github.com/KDE/kdeconnect-kde/commit/4fbd01a3d44a0bcca888c49a77ec7cfd10e113d7
https://github.com/KDE/kdeconnect-kde/commit/542d94a70c56aa386c8d4d793481ce181b0422e8
https://github.com/KDE/kdeconnect-kde/commit/613899be24b6e2a6b3e5cc719efce8ae8a122991
https://github.com/KDE/kdeconnect-kde/commit/8112729eb0f13e6947984416118531078e65580d
https://github.com/KDE/kdeconnect-kde/commit/ce0f00fc2d3eccb51d0af4eba61a4f60de086a59
https://github.com/KDE/kdeconnect-kde/releases
https://kde.org/info/security/advisory-20201002-1.txt
https://kdeconnect.kde.org/official/
https://lists.opensuse.org/opensuse-security-announce/2020-10/msg00014.html
https://security.gentoo.org/glsa/202101-16

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	kde	kdeconnect	*		Up to (excluding) 20.08.2
	运行在以下环境
	应用	opensuse	backports_sle	15.0	-
	运行在以下环境
	系统	alpine_3.12	kdeconnect	*		Up to (excluding) 20.08.2-r0
	运行在以下环境
	系统	alpine_3.13	kdeconnect	*		Up to (excluding) 20.08.2-r0
	运行在以下环境
	系统	alpine_3.14	kdeconnect	*		Up to (excluding) 20.08.2-r0
	运行在以下环境
	系统	alpine_3.15	kdeconnect	*		Up to (excluding) 20.08.2-r0
	运行在以下环境
	系统	alpine_3.16	kdeconnect	*		Up to (excluding) 20.08.2-r0
	运行在以下环境
	系统	alpine_3.17	kdeconnect	*		Up to (excluding) 20.08.2-r0
	运行在以下环境
	系统	alpine_3.18	kdeconnect	*		Up to (excluding) 20.08.2-r0
	运行在以下环境
	系统	alpine_edge	kdeconnect	*		Up to (excluding) 20.08.2-r0
	运行在以下环境
	系统	debian_10	kdeconnect	*		Up to (including) 1.3.3-2
	运行在以下环境
	系统	debian_11	kdeconnect	*		Up to (excluding) 20.08.2-1
	运行在以下环境
	系统	debian_12	kdeconnect	*		Up to (excluding) 20.08.2-1
	运行在以下环境
	系统	debian_9	kdeconnect	*		Up to (including) 1.0.1-1
	运行在以下环境
	系统	debian_sid	kdeconnect	*		Up to (excluding) 20.08.2-1
	运行在以下环境
	系统	opensuse_Leap_15.1	kdeconnect-kde-zsh-completion	*		Up to (excluding) 20.04.2-lp152.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.2	kdeconnect-kde-zsh-completion	*		Up to (excluding) 20.04.2-lp152.2.3.1

阿里云评分 2.6

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-400	未加控制的资源消耗（资源穷尽）

Exp相关链接

- avd.aliyun.com