LINUX.ORG.RU

Установка глобальных тем KDE может удалить личные данные

 ,

Установка глобальных тем KDE может удалить личные данные

0

2

Важное предупреждение: установка глобальных тем в KDE может привести к удалению всех личных данных. Пользователи сообщают о критических ошибках и полной потере данных на своих устройствах.

В сообществе пользователей Linux произошёл инцидент, который вызвал широкий резонанс и обсуждение вопросов безопасности. Речь идёт о ситуации, когда установка глобальной темы привела к удалению всех пользовательских данных, включая данные с монтированных дисков. Этот случай стал предметом обсуждения на форуме openSUSE в Reddit и выявил потенциальную уязвимость в системе безопасности дистрибутивов на базе Linux.

Технический момент

Как указывают пользователи Reddit, причиной стала определённая глобальная тема, которая в процессе установки исполняла команду rm -rf, автоматически удаляя все данные в папках, доступных для пользователя. Это подчёркивает риск, связанный с возможностью выполнения скриптов при установке тем и расширений, которые пользователи могут скачивать из неофициальных источников.

Реакция разработчиков KDE

После того как информация о проблеме была доведена до разработчиков KDE, были предприняты немедленные действия. Спорная тема была удалена, и команда разработчиков начала обсуждение мер, которые могли бы предотвратить подобные инциденты в будущем. Один из разработчиков отметил, что ситуация действительно ужасающая и требует серьёзного рассмотрения вопросов безопасности.

>>> Подробности

★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 1)

Для работы - Trinity DE, сколько можно объяснять.

Для хипстерских финтиклюшек из плазмы, глючащих по собственному желанию - KDE v5-6+

sanyo1234
()

Как это вообще получилось? Кто додумался сделать исполняемые скрипты в темах, и зачем? Уму непостижимо. И это на фоне откровенно провального релиза KDE6.

liksys ★★★★
()

причиной стала определённая глобальная тема, которая в процессе установки исполняла команду rm -rf

Бгг… Это просто царский баг какой-то, джекпот… )

p.s. Спасибо, что предупредили. Если раньше я вообще не собирался ставить кеды, то теперь вообще-вообще не собираюсь…

hikari
()
Ответ на: комментарий от sanyo1234

целый день танцую с бубном, ну не работает у меня исправно Wayland на Debian/Devuan (под AMD) , проверьте кто-нить, мб пофиксят если не я один столкнулся с данной проблемой P.S. с кедами при использовании вяленного на экране становится 2-3 ФПС, с использованием GNOME не открывается браузер, либо вовсе появляется чёрный экран в меню ввода пароля (после правильного пароля) данные проблемы встретил только при использовании Wayland

avas1
()

Спорная тема была удалена

Мне стало интересно, почему в данной ситуации использован термин «спорная»?

imul ★★★★★
()

эх, может когда-нибудь в будущем кто-то хорошенько покурит матчасть и напишет нормальный DE на GTK

avas1
()

Бгг, с начала века ничего не поменялось.

Clayman ★★
()
Ответ на: комментарий от Smacker

А никогда не была. Даже во времена двойки это былинный глюкодром. Спасибо тем, кто придумал писать ДЕ на с++.

Clayman ★★
()
Ответ на: комментарий от Clayman

Спасибо тем, кто придумал писать ДЕ на с++

Ну я не думаю, что этот баг имеет место быть связан с С++. Да и вообще. Дело не в языке. А в том, кто пишет на этом языке. Тут-же скорее архитектурная дыра в безопасности.

DrRulez ★★★
() автор топика

А технические подробности есть?

Неужели как всегда это дидовское говнокодерство под названием «вонючие лапшевидные Bash/Shell портянки» в ногу стрельнули?

Который раз уже из-за архитектурных косяков Shell/Bash страдают люди. Случай с NVidia, случай с Yandex.Disk, ещё что-то было.

Воистину, Поттерингу нужно было начать с написания адекватного шелла, а не системы инициализации.

EXL ★★★★★
()

Ради интереса скачал глобальную тему для KDE6, в ней есть конфигурационный js, отвечающий за расположение элементов интерфейса. Он вполне мог содержать опечатку или злонамеренную директиву.

dmitry237 ★★★
()
Ответ на: комментарий от liksys

И это на фоне откровенно провального релиза KDE6.

Поясните в чём он провальный? Он только вышел. Будет доступен на обычных системах в лучшем случае с релизом весенним в тех же Ubuntu и Fedora. Сейчас есть только у тех, кто использует KDE Neon или тот, кто позаботился об установке самой свежей версии. Пока не вижу в новой версии ничего сверхестественного. Да, немного придётся внешний вид, наверно, переделать вручную. Перешли на свежую версию Qt. По мне так обычный релиз. Когда прилетит, буду пользоваться. Пока только в виртуальной машине пробовал. Ничего такого особо плохого не заметил.

Feonis ★★★
()
Ответ на: комментарий от liksys

Кто додумался сделать исполняемые скрипты в темах, и зачем?

Скажи спасибо, что эти скрипты пока ещё запускаются не в «супербезопасной» песочнице ядра.

sanyo1234
()

Например можно не выполнять никаких скриптов при активации темы оформления? Да не...

kirill_rrr ★★★★★
()

ну это же модное кде 6 с поддержкой вейланда и написанное на всем модном что вообще есть молодыми прогрессивными небинарными трансгендерными разработчиками

bernd ★★★★★
()
Ответ на: комментарий от liksys

Кто додумался сделать исполняемые скрипты в темах, и зачем?

Разработчики KDE, очевидно же!

Уму непостижимо.

В KDE все так через одно место.

Reset ★★★★★
()
Ответ на: комментарий от Feonis

Провальный тем, что откровенно неотлаженный и глючный:

После выхода Plasma 6.0 количество отчетов об ошибках значительно увеличилось. В обычные дни KDE получает от 30 до 50 отчетов, однако на текущий момент эта цифра достигает 150-200 новых отчетов в день.

И мой личный опыт. Продублирую свой камент из соответствующей темы:

После обновления у меня пропала иконка телеграма в трее - пустое место есть, кликабельно, но самой картинки нет. И всплыл просто феерический баг с блокировкой экрана: после того, как экран блокируется и тухнет по таймауту, если подвигать мышкой или потыкать в клавиатуру, экран просыпается, а потом будет тухнуть при каждом эвенте. Уму непостижимо, как они этого добились. Причем на вяленном сеансе этого нет.

Но на вяленном свои приколы, в частности в виде абсолютно неюзабельного для тачпадов говна под названием libinput, скроллинг на котором превратился в какую-то боль. На иксах с синаптиком я мог мгновенно скроллить буквально на несколько пикселей, а у либинпута есть джиттер с таймаутом на реакцию, и нет никаких настроек, потому что автор считает что они не нужны.

А еще исчезли настройки тачпада в сеансе иксов, совсем.

По-моему, это провал уровня KDE4.0 != KDE4

liksys ★★★★
()
Ответ на: комментарий от Clayman

то, что ты не смог осилить спп это чисто твой косяк. архитектурные проблемы с башкой языки программирования не лечат.

bernd ★★★★★
()
Ответ на: комментарий от sanyo1234

кде3 уже устарело и не шевелится, а вот гном 2 вполне шевелится, я сейчас на нем. хорош как всегда и темы не удаляют файлы :D

bernd ★★★★★
()

вовремя я сбежал, кеды скатываются всё глубже

InterVi ★★★★
()
Ответ на: комментарий от hikari

Почему баг? Может так и задумано было. По крайней мере никаких заявлений от автора о том что он случайно не видно.

firkax ★★★★★
()

поэтому гном и лучше, всем советую!
и Ваши данные/настройки целые.

etwrq ★★★★★
()

Этот случай стал предметом обсуждения на форуме openSUSE в Reddit и выявил потенциальную уязвимость в системе безопасности дистрибутивов на базе Linux.

Какой такой системе безопасности, о чём вообще речь?

firkax ★★★★★
()

Жесть какая. Всегда не доверял всяким «установщикам» тем из *-look.org. А тут, похоже, установка темы из официального источника?

TechnoMag ★★
()
Ответ на: комментарий от Clayman

Да ну, гониво. Третьи кеды, как и второй гном, кстати, были очень классной ДЕ. Я на них долго сидел, горя не знал. А теперь дух второго гнома живёт в MATE, а вот третьи кеды слили (ну тринити это как-то... несерьёзно) в пользу непонятно чего вообще. Я, может, как-то отстал от жизни, но в моём образном представлении был такой игрушечный городок из кубиков — третьи кеды. Его во имя «прогресса» раскидали и теперь вместо нового городка выкладывают какую-то разноцветную мандалу на полу.

Smacker ★★★★
()

Разве тема → это не просто набор файлов, раскидываемый по буквально двум-трем каталогам? Откуда там вообще скрипт, который что-то удаляет?

Zhbert ★★★★★
()
Ответ на: комментарий от sanyo1234

Ну, не все так плохо, но интерфейс у KDE по сравнению с тем же Xfce не интуитивный.

Skullnet ★★★★★
()

А вообще это трындец, конечно, позволять ТЕМЕ запускать команды и скрипты. Там если что-то «скриптованное» и может быть разрешено, то только что-то полностью под колпаком DE, типа SSI, Lua, или на худой конец какого-то диалекта JS, которые в принципе не могли бы дёрнуться в сторону от жёстко ограниченных полномочий на кастомизацию заранее предопределённых файлов, которые в саму тему и входят. А вообще мы годами жили с нормальными темами, которые состояли только из текстовых файлов и картинок, и дальше так жить должны ящитаю.

Smacker ★★★★
()

Вы ошиблись с заголовком, правильный звучит так:

Красношляпочные щупальца добрались и до кед

Was2023
()

После апдейта 6 кед перебрался обратно на свой уютный bspwm, о чем ни капли не жалею.

xaTa ★★★
()
Ответ на: комментарий от imul

Мне стало интересно, почему в данной ситуации использован термин «спорная»?

Мне кажется это как хлопок, вместо взрыва. Чтобы не пугать страусов. Ну и писать в прессрелизе слово «вредоносная», слишком сильно ударит по репутации(хотя, куда уж больше).

На реддите вот что написано

«I can't confirm whether this was malicious, to my understanding it was just a compatibility and programmers mistake gone south.»

Т.е. они не уверены, что это не случайный баг.

Loki13 ★★★★★
()
Последнее исправление: Loki13 (всего исправлений: 1)
Ответ на: комментарий от liksys

Мне вот интересно, у тех клоунов, что под моими каментами отметились, есть что-то по существу возразить? Может, перечисленных мной багов не существует? Или, может, исполнение шелл-скриптов из интернета - это норма? Или, скажем, количество багрепортов в сутки у KDE не возрасло? С чем вы не согласны-то, м? %)

liksys ★★★★
()
Последнее исправление: liksys (всего исправлений: 1)

Винлокер в ядро уже встроили, майнеры, кейлоггеры, руткиты тоже давно имеются, даже игорь завезли. А теперь уже второй (первым был Steam) инцидент по глобальному удалению данных. Linux is new Windows! \ö/

mord0d ★★★★★
()

Я с Xfce ушёл на пятые кеды, просто потому что оно красивое, но после релиза шестых кед решил откатиться обратно. Сейчас, правда, пробую Cinnamon. Но я понял одно - непредсказуемость кед меня напрягает. Да, они красивые, удобные во многих моментах, но непредсказуемые просто жесть как. Теперь я понимаю, почему Xfce обновляется раз в пятилетку. Ради стабильности.

mshewzov ★★
()

Вот это дырень. Т.е. при установки глобальная тема может выполнять шелл команды. Мне интересно, кто автор этой идеи и кто её реализовывал?

WatchCat ★★★★★
()
Ответ на: комментарий от Smacker

Просрали, это когда был переход с KDE 3 на KDE 4. А сейчас так себе, немножко пропукали.

rupert ★★★★★
()
Ответ на: комментарий от avas1

ну не работает у меня исправно Wayland

Попробуй X11. Говорят, это новая, подающая надежды технология.

rupert ★★★★★
()
Ответ на: комментарий от Feonis

Сейчас есть только у тех, кто использует KDE Neon или тот, кто позаботился об установке самой свежей версии

Ещё тем, кто на роллинге уже прилетело. Суза или арчик. Ну ничего, работать можно. Я думал, что-то сломается, но чего не сломалось и даже не крашнулось, даже скучно как-то. Но я пропустил версию 6.0.0, а сразу обновился на 6.0.2, в которой говорят самые серьезные баги пофиксили.

rupert ★★★★★
()
Ответ на: комментарий от rupert

не знаю как вам сэр, а мне 6 кеды понравились, по сравнению с тем глюкнутым DE что щупал ранее на Debian P.S. какие существуют дистрибутивы свободные от Systemd что имели бы магазин приложений искаробки?

avas1
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.