LINUX.ORG.RU

Незакрытая уязвимость в KDE

 , , ,


1

2

Исследователь Dominik Penner опубликовал незакрытую уязвимость в KDE (Dolphin, KDesktop). Если пользователь откроет директорию, где содержится специально сконструированный файл чрезвычайно простой структуры, код из этого файла будет выполнен от имени пользователя. Тип файла определяется автоматически, поэтому основное содержание и размер файла может быть любым. Однако требуется, чтобы пользователь самостоятельно открыл директорию файла. Причиной уязвимости называется недостаточное следование спецификации FreeDesktop разработчиками KDE.

>>> Подробности

Ответ на: комментарий от anonymous

Не ставь это в угоду себе. Ты просто никому не нужен, в частности, с точки зрения друга, с которым можно весело провести время, или сходить куда.

Ставлю и еще как буду ставить. Интересно, куда ты сходишь. В кино? А причем тут флешки вообще? В общем, мне насрать что ты флешками фильмы тащишь, это твои проблемы. Мне проще скачать фильм с торрента и обсудить его не выходя из дома, прямо в ватсапе.

RedEyedMan4 ★★★★★ ()
Последнее исправление: RedEyedMan4 (всего исправлений: 1)

Я тут увидел у одного, решил, что буду тиражировать это мнение, пока до разрабов мем не дойдёт:

Товарищи! Леди и джентльмены!

Уже просто достало.

Стоит Manjaro KDE, прошло последнее обновление системы. Хотя давайте абстрагируемся от дистрибутива, чтобы не перекладывать вину с DE на distro и обратно в бесконечном цикле.

Начну с малой беды:

Поведение Панели задач

Какого гуя мне принудительно включились три галочки показывать задачи только с текущего *** ? Из-за этого несколько раз испытывал баддхёрт, ну зачем так поступать?

Какие ещё галочки мне принудительно установили исказив мои настройки системы под себя? Узнаю только по факту стукнувшись лбом в препятствие, которого раньше не было или провалившись в отсутствовавший ранее люк?

Системные уведомления

Меня уже заколебали чудные изменения виджета системных уведомлений. Я уже просто устал, что его непрерывно пилят и ломают нахер вновь. То он работает, и по сообщению с комментом из соцсети, ютуба можно кликнуть, и тогда откроется в браузере страница с ним. То опять это снова просто некликабельная строка в системных сообщениях, и кому это сообщение принадлежит можно только догадываться по содержимому. И вот сейчас опять нельзя кликнуть. Похерились активные ссылки.

Такое чувство, что плагин постоянно пишут разные люди одинаковой степени ужратости, ломающие то, что сумели починить или недоломали их коллеги с предыдущей смены.

Вот сейчас люто пригорело с дивной новинки - я копирую через KDE Connect с телефона большой видеофайл. Мне важно знать, сколько загрузилось, какое имя файла. Но он теперь не показывает даже прогресс и имя файла. Там тупо бегает влево-вправо вертикальная полоска без прогресса, не пишет имя файла! Я блять не знаю теперь, повисло оно, или половину скачало, или вот-вот закончит передачу, и какой файл сейчас вообще грузится. Я уж молчу про явное указание пути куда.

Из-за этих конченных рукожопов приходится идти в папку загрузки (хорошо, я помню куда ложатся файлы, и они мне не поменяли эту настройку) и смотреть, у какого файла динамически изменяется размер. Сверять его с размером на телефоне и прикидывать прогресс в уме. И ВСЁ ПОТОМУ, ЧТО КАКИЕ-ТО МУДАКИ ОПЯТЬ ИЗУРОДОВАЛИ KDE.

И это ещё не всё. Пока грузится файл, его окно невозможно свернуть, убрать с экрана, если открыл уведомления. Можно нажать «подробнее» - но это нае..во и толком там никакой информации не будет. Вот полюбуйтесь на это палево. Приходится отодвигать окна, чтобы их не перекрывало.

*Факты*

Вот кто за это гуано отвечает? Почему такое творится? Писать багрепорты в англоязычные багтрекеры по опыту совершенно не хочется, там всем похрен. Может есть русскоязычное коммюнити, где неравнодушные люди объединены общей проблемой? А то боюсь тут на LORе просто всё выльется в очередной флейм с высказыванием дивных пользователей страны фей и пони, что у них или всё работает, или они адепты других DE, или им просто пох, и зашли пофлеймить. Хотя я верю в костяк опытных специалистов, раз всё же сюда пишу, не раз уже помогали. Всё таки хочется надеятся, что осилившие этот длиннопост прольют конструктива в тему. Спасибо за ваше внимание.

anonymous ()

БРАТЦЫ! Я ВАМ ЕЩЕ ОДНУ УЯЗВИМОСТЬ НАШЁЛ!

В ssh выявлена уязвимость, позволяющая атакующему выполнить произвольные команды при логине пользователем на машине, содержащей специально оформленные файлы

~/.bashrc
или любой другой аналог для текущего шелла. Для атаки достаточно, чтобы пользователь просто вошел в систему, загрузил вредоносный bashrc-файл. Проблема проявляется в актуальном выпуске bash и более старых версиях, вплоть до dash. Уязвимость пока остаётся неисправленной (CVE не присвоен).
if [[ -n $SSH_CONNECTION ]] ; then
    echo "I'm logged in remotely"
fi

DzenPython ()

важно не наличие уязвимости, а факт её устранения.

вспоминать GNOME и тем более проводить сравнение с KDE не конструктивно в этой теме.

спасибо to Dominik Penner

Alexanderuser ()

Дали им расширенные атрибуты файлов, на, пользуйся, храни там свои настройки. Нет, не хотим! Хотим писать файлы в каждую директорию, баги плодить, себе и пользователям жизнь портить.

anonymous ()
Ответ на: комментарий от EXL

Жопа не в том что он ими засирает( что вроде отключается ).
Жопа в том что он их поддерживает и на автомате при просмотре директории будет читать .directory-файлы.

WatchCat ★★★★★ ()
Ответ на: комментарий от anonymous

важно не наличие уязвимости, а факт её устранения

Сколько там еще такого зарыто? Кода в кедах очень много, а пользователей очень мало. Такие мины могут годами лежать тихонько. Не говоря о багах, которые жужжат роем. А потом у линукса репутация глючного решета аля шин98.

bread ()

Народ, напомните ка мне, несколько лет назад в Гноме была похожая дыра. КДЕшники тогда ржали (ну и я тоже, да). Тогда утверждалось, что в КДЕ такое невозможно. Пришли гномосеки и испортили КДЕ?

ChekPuk ()
Ответ на: комментарий от bread

Сколько там еще такого зарыто?... Такие мины могут годами лежать тихонько

а причём тут KDE? такое возможно везде.

и это прекрасно, что найдено множество багов. и это естественно: баги и несовершенства всё ещё могут присутствовать в коде - любого ПО.

то, что они не исправляются - так это другой вопрос. можно я буду банален и скажу: «код открыт, лицензия свободная - возьми и исправь». шутка конечно, но не думаю, что разговор о неисправлении багов конструктивен в данном топике.

P.S.: я не сторонник KDE и не противник, и я не использую эту DE в работе. но это не значит, что она кому-то не нужна и что в будущем не понадобится мне.

Alexanderuser ()
Ответ на: комментарий от Alexanderuser

и это прекрасно, что найдено множество багов.

Да уж, а сколько еще их найдут в такой раздутой кодовой базе, на сто лет вперед хватит чтобы не заскучать.

bread ()

так же как не конструктивны крики про «пошёл удалять KDE», KDE - бомба, ложись, рванёт и т.п.

какого уровня эта уязвимость? какие условия нужны для её реализации? что будет если не из под root (как справедливо отметил один из ораторов)?

да, уязвимость, но это не какой-то zero-day bug

Alexanderuser ()
Ответ на: комментарий от bread

Любую задачу на линуксе можно решить без единой строчки этого ненужно.

тоже самое можно сказать про любое DE. да консольно можно любую задачу решить, но давайте тогда не рассказывать людям, про то, что у Windows есть альтернатива и не будем им морочить голову. пусть разработчики официально поставят запрет на использование GNU/Linux вне серверов и вообще прекратят разработку для Desktop.

но кому-то KDE будет удобен и нужен, кто-то его выберет. то, что есть этот выбор - это самое главное.

другими словами неконструктивно в теме про баг некоторого ПО поднимать тему о грешности данного ПО вцелом.

Alexanderuser ()
Ответ на: комментарий от Alexanderuser

Это показывает уровень надёжности вообще. В линуксе и свободном софте много таких подводных камней, а безопасностью занимаются от скуки если только.

ChekPuk ()
Ответ на: комментарий от ChekPuk

что это за мифический такой показатель «уровень надёжности» и как он вычисляется? это где-то документировано? это часть какой-то математической теории или модели (ака «теория общей надёжности систем»)?

как ораторы этой темы его вычисляют?

Alexanderuser ()

вспомним «иранскую ядерную программу» ... тут-же «пользователи» все сделают сами! а потеря «хомятника», думаю, это самое страшное что может случиться...для пользователя что может быть ужаснее?! работа / наработки / статьи / архивы / документы...

p.s. проверил, баг присутствует (прям беда...)

- TDE-3.5.13
- TDE-14.0.6

sunjob ()
Последнее исправление: sunjob (всего исправлений: 2)
Ответ на: комментарий от Alexanderuser

я считаю

Да какая разница, что ты считаешь? Есть принятая специалистами практика, для тех кто не понимает зачем она нужна, мотивация описана по ссылке.

Мотивация пеннера же тоже вполне хорошо описана в его твиттере - забив на ответственность, собрать лайков и получить 15 минут славы.

Gary ★★★★★ ()
Ответ на: комментарий от Alexanderuser

ораторы, как всегда, вычисляют методом орального вычисления. Чем больше орёт «нинужна!» - тем умнее и значительнее его мнение. Но это не отменяет множества реальных проблем опенсорса. Но бежать некуда.

ChekPuk ()
Ответ на: комментарий от tiinn

Единственная-неповторимая осталась в 2000 году. Всё остальное приходится допиливать напильником, чтобы хоть немного походило на Win2K. Дисяточку, кстати, уже невозможно так допилить, увы.

Win2k нервно курит в сторонке по сравнению с божественной XP, семера еще ничего, а дальше и в правду пошел треш и угар. Я как заядлый виндузятник это тебе говорю!

vasya_pupkin ★★★★ ()

если злоумышленник сумел засунуть такой файл в директорию то почему он не сумел сразу положить скрипт на хомяк и прописать его в .profile? Тупак какой-то

Jetty ★★★★★ ()
Ответ на: комментарий от anonymous

Стоит Manjaro KDE

У тебя стоит говно-дистрибутив который у меня после установки, обновления отказывается стартовать, так ещё и с KDE. Нужна норма ставь Debian с TDE или LXQT.

anonymous ()