LINUX.ORG.RU

Незакрытая уязвимость в KDE

 , , ,


1

2

Исследователь Dominik Penner опубликовал незакрытую уязвимость в KDE (Dolphin, KDesktop). Если пользователь откроет директорию, где содержится специально сконструированный файл чрезвычайно простой структуры, код из этого файла будет выполнен от имени пользователя. Тип файла определяется автоматически, поэтому основное содержание и размер файла может быть любым. Однако требуется, чтобы пользователь самостоятельно открыл директорию файла. Причиной уязвимости называется недостаточное следование спецификации FreeDesktop разработчиками KDE.

>>> Подробности

Ответ на: комментарий от Rootlexx

Не могу. Но на основании

Причиной уязвимости называется недостаточное следование спецификации FreeDesktop разработчиками KDE.

И что в закрытом банк они пишут, что никогда это не использовали, создаётся впечатление, что они это подсмотрели. Но это неточно.

grem ★★★★★ ()
Ответ на: комментарий от RedEyedMan4

Рад, что за время моего отсутствия твоя гнилая натура не изменилась. Теперь, правда, реже это показываешь после того, как с Одалистом по шапке получили. Запомни, Маня: Я ничего не обязан тебе доказывать.

anonymous ()
Ответ на: комментарий от anonymous

Вот кто за это гуано отвечает?

Ты в том числе.

Писать багрепорты в англоязычные багтрекеры по опыту совершенно не хочется

В ОЗПП напиши, по-русски.

То есть, ты прав конечно, во всём.
Но тут у нас своя атмосфера, где никто ничего никому и любой пловец хотябы минимально должен уметь грести.

aidaho ★★★★★ ()
Ответ на: комментарий от bread

под рукой только эти версии, но учитыва то, что старая тринити TDE-3.5.13 была полностью обратносовместима с KDE3, и на обоих версиях TDE 3.5.13.x & 14.0.6 - этот баг присутствует то да, я думаю что и KDE3 были подвержены этим багом

к стати, в тринити достаточно шустро принимают решения :о)

url1 [url2=https://mirror.git.trinitydesktop.org/gitea/TDE/tdelibs/commit/1074eb033654bd...

будет время, проверю на текущей версии TDE-14.0.6

sunjob ()
Ответ на: комментарий от aidaho

а что мне там еще смотреть? читать я умею :о) почитал... ну и ... вы считаете принятого патча недостаточно?

URL1

URL2

в КДЕ любят кота за всевозможные резиновые места тянуть... пока они не лопнут или не начинают тормозить или падать :о)

sunjob ()
Последнее исправление: sunjob (всего исправлений: 2)
Ответ на: комментарий от sunjob

Битый линк был в предыдущем посте.

Я только не понял, у нас теперь в TDE где самый-самый главный багтрекер?
А то ж я поиском то поискал, прежде чем баг создавать.

aidaho ★★★★★ ()
Ответ на: комментарий от anonymous

Debian стабильный, хороший, стабильный дистрибутив

- Еще стабильный, а кроме того, стабильный. Нет, ну вы поняли - стабильный, я имею в виду, стабильный-престабильный, стабильный, как сама стабильность! Стабильный, я сказал!!

Напряженная истерика прерывается звуками неудержимого фапа.

meliafaro ★★★★ ()
Ответ на: комментарий от grem

Нет этого в спецификации. Это сделали в KDE ещё в лохматые годы для KIOSK. Т.е. это пример того, когда это действительно фича, а не баг.

Проблема не в наличии этой функциональности, а в том, что эти фокусы должны были быть разрешены только для доверенных путей: /usr/..., /etc/..., $XDG_CONFIG_HOME и т.д. И вместо того чтобы реализовать как надо, эту функциональность теперь просто выпилили. «Молодцы», что уж там.

Rootlexx ()
Ответ на: комментарий от Polugnom

А потом почекай темы в период выхода 9ки, 8ки, 7ки, 6ки и даже 5ки и увидь ту же картину

Тот неловкий момент, когда хотел написать аргумент в защиту Дебиан, а вышло ровно наоборот.

meliafaro ★★★★ ()
Ответ на: комментарий от pihter

а почему МСы не приделают возможность ДЕшку от ХР(или типа того) использовать на новых виндах? Ну этим же пользоваться невозможно! Хрен где че найдешь, хрен чего сможешь. 20 лет за компом сижу, а на винду смотрю теперь как баран на новые ворота

Проблема точно в Винде?;) У людей помоложе обычно проблем не возникает)

meliafaro ★★★★ ()
Ответ на: комментарий от anonymous

1. 7+ Taskbar Tweaker - поможет сделать область уведомления лкассической. ПКМ - закрыть, развернуть, свернуть, а не shift+ПКМ. 2. Explorer++ - привычный на внешний вид файловый менеджер. 3. Classcic shell - привычное каскадное меню пуск. 4. Замену explorer.exe для 10-ки тоже где-то находил. Не благодари.

1. Костыли. 2. Инвалидка. 3. Медицинская утка. 4. Вставная челюсть. Не благодари.

meliafaro ★★★★ ()
Ответ на: комментарий от meliafaro

Мимо. Совсем беспроблемного софта не бывает по определению. Какая-то часть пользователей при выходе крупного обновления всегда столкнется с проблемами. А по вине дистрибутива или по своей вине совсем другой вопрос. Вот и все что я написал.

Polugnom ★★★★★ ()
Ответ на: комментарий от anonymous

Рад, что за время моего отсутствия

Ты где был-то? Нервишки от регистрантов лечил?

Теперь, правда, реже это показываешь после того, как с Одалистом по шапке получили.

Кто такой Одалист и кто там по шапке получил? Я что-то пропустил этот момент.

Запомни, Маня

Это ты Маня из деревни Похлебкино. А меня Галым зовут.

RedEyedMan4 ★★★★★ ()
Ответ на: комментарий от RedEyedMan4

Ты где был-то? Нервишки от регистрантов лечил?

Ну не без этого.

Кто такой Одалист и кто там по шапке получил? Я что-то пропустил этот момент.

Тоже отсутствовал? Он тут был знатным ненужистом.

А меня Галым зовут.

Галым, не Галым не важно. Будешь Маней.

anonymous ()

Причиной уязвимости называется недостаточное следование спецификации FreeDesktop разработчиками KDE.

э, нет. если б они просто подставляли то ничего бы не было. получили бы строку на выходе и всё. они исполняют эту строку.

потому что рукожопы:

while ((nEndPos <= aValue.length()) && (aValue[nEndPos] != QLatin1Char(')')))
Конечно у них плазма падает.

example_cat ()

Вот интересно, как это будет фикситься во всяких там Debian’ах, CentOS’ах и RHEL’ах, где старые ещё четвёртые кеды на поддержке.

Будут бэкпортировать патч или забьют? Дырка-то знатная.

Хоть KDE и редко кто там пользуется на подобных стабильных дистрах, прецендент будет интересный.

EXL ★★★★★ ()
Ответ на: комментарий от pihter

Ты из веба скачал архив с прогой, распаковал, открыл, весь твой хомяк улетел ко мне на сервак

Я как-то не совсем понимаю если у злоумышленника есть возможность внедрить вредоносный код в архив то какой смысл ему рассчитывать на уязвимость в KDE которым пользуется далеко не каждый если можно внедрить сразу в бинарник который ты ставить будешь. Я же не спорю что эта уязвимость в кедах эпичная дыра, но паническая реакция в стиле «все пропало» тоже превышает разумные пределы. Лично мое мнение - да никому мы не нужны со своими парой десятых от 1%.

mbivanyuk ★★★★★ ()
Ответ на: комментарий от anonymous

Сколько таких пользователей? Каков процент таких пользователей по отношению к тем, кто не испытал проблем? Эти пользователь испытывают трудности по своей вине или по вине дистрибутива? Без этих данных просто пук.

Polugnom ★★★★★ ()
Ответ на: комментарий от mbivanyuk

KDE которым пользуется далеко не каждый если можно внедрить сразу в бинарник который ты ставить будешь.

Потому что трактовка не верная. Скачал я архив с исходниками, с документами, с чертежами. Распаковал и бабах 💥

А так да, KDЕшники никому не нужны. Поэтому всё равно.

Но если говорить вообщем про линуксы — то это не так. Можно вспомнить Майнеры в Snap Store. Можно вспомнить уязвимость в Firefox PDF.js, которая использовалась и предусмотрели линуксы тоже.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 3)
Ответ на: комментарий от WatchCat

Потому что вместо того чтобы напрямую написать разработчикам об обнаруженной уязвимости, он решил на ней попиариться.

я уверен, если б он не опубликовал это пока горячее, то так быстро бы не пофиксили. а может бы и вообще висело годами бы.

в этом и суть свободного ПО и это пример того, как оно должно работать. и это, на секундочку, логично. если код открыт, почему багрепорты должны быть под ковром?

не считаю, что он хотел попиариться. считаю, что им движело стремление улучшить код. а для чего иначе человек тратит своё личное время на эту уязвимость. а если и получился в итоге пиар, то почему нет - он достоин этого.

Alexanderuser ()
Ответ на: комментарий от WatchCat

Потому что вместо того чтобы напрямую написать разработчикам об обнаруженной уязвимости, он решил на ней попиариться.

И правильно сделал. Ну не тот уровень проекта, чтобы там на ушко шептать, а то вдруг кто пострадает.

fornlr ★★★★★ ()
Ответ на: комментарий от anonymous

Ну вот у меня затычка вместо видюхи и почти все современные дистры ставятся, но при запуске черный экран или нет выбора частоты монитора. И только Debian 10 поставился, хоть и грузится в консоль. Ввожу логин/пароль, startx и совершенно рабочая система, выбор частот есть. Софт свежак пока (по сравнению с моей трехлетней Ubuntu 16.04).

Что пробовал: openSUSE Tumbleweed - нет выбора частоты, Manjaro - в Live работает, после установки черный экран, Mageia 7 Beta - в Live черный экран, при установке все работает (кроме модема). Xubuntu 18.04 тоже работает, новее черный экран.

anonymous ()
Ответ на: комментарий от Rootlexx

самая разумная мысль из всего обсуждения

Проблема не в наличии этой функциональности, а в том, что эти фокусы должны были быть разрешены только для доверенных путей:

/usr/..., 
/etc/..., 
$XDG_CONFIG_HOME 
и т.д. 

И вместо того чтобы реализовать как надо, эту функциональность теперь просто выпилили.

Молодцы, что уж там.

...

согласен, вот так вот нунче и «пищуца» плазмы и пр. софт... нет трупа - нет проблемы

... беда...

sunjob ()
Ответ на: комментарий от Rootlexx

Проблема не в наличии этой функциональности, а в том, что эти фокусы должны были быть разрешены только для доверенных путей: /usr/..., /etc/..., $XDG_CONFIG_HOME и т.д.

Говорите, /usr/bin/ достаточно доверенный?

А так?

$ which rm
/usr/bin/rm

bormant ★★★★★ ()
Ответ на: комментарий от h4tr3d

Видишь только чёрное и белое? Уязвимости нужно рапортовать напрямую разработчикам, особенно если нет лекарства или WA. Разработчики или посоветуют, что сделать, что бы минимизировать риск возникновения проблемы или выпустят быстрый патч. Тем более что для уязвимостей почти у всех проектов есть отдельные списки, контакты и т.п.

Я при своём мнении остался, если знают все, то это честно. Если знает ограниченное количество людей, то среди них всегда найдется один или несколько, кто захочет использовать эту уязвимость в своих целях. Это должно быть очевидно и ребёнку.

anonymous ()
Ответ на: комментарий от bormant

согласен, наличие головы не отменяет еЁ использование :о)

в таком свете, да, лучше отказаться от всех плюсов и просто запретить любую возможность

опять же... нет дырки - не проблемы :о)))

спасибо

sunjob ()

Это очень хорошо...хо, хо, хо. Тут некоторые дейтели (оставим их возраст в стороне), мне утверждали, что KDE-это хорошо, это модно и молодежно, что я старый фанат косоли и тайлинга...Ну а я, как и утверждал, так и буду утверждать-эти ваши гномы, кеды, мате и прочая ерунда-решето.

Odalist ★★★★★ ()
Ответ на: комментарий от Odalist

Вот и говорю. Тут фикс бесполезный. Вам мышление нужно менять, обожатели свистоперделочного дизайна, aka windows 10.

ГИП MS WIN95 ВПОЛНЕ СЕБЕ ИДЕАЛЕН.

anonymous ()
Ответ на: комментарий от alexferman

Что с фиксом?

Thu Aug  8 05:25:56 UTC 2019
patches/packages/kdelibs-4.14.38-x86_64-1_slack14.2.txz:  Upgraded.
  kconfig: malicious .desktop files (and others) would execute code.
  For more information, see:
    https://mail.kde.org/pipermail/kde-announce/2019-August/000047.html
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14744
  (* Security fix *)
+--------------------------+


Для KDE5 — описание там же.

bormant ★★★★★ ()
Последнее исправление: bormant (всего исправлений: 1)
Ответ на: комментарий от Alexanderuser

Нет, потому что даже, если кдешники оперативно выпустят патч, пока мейнтейнеры дистрибутивов все пересоберут и это попадет в репы, все это время системой считай что пользоваться нельзя. То есть он парализовал работу множества компов, а мог бы подождать немного. Это здравый смысл. Тут правильно сказали, если разрабы кде забьют, то другое дело, это будет на их совести. Ну вот вытащил он эту новость в паблик и что прикажешь делать юзерам, сносит кде? Выключать комп?

anonymous ()