LINUX.ORG.RU

Незакрытая уязвимость в KDE

 , , ,


1

2

Исследователь Dominik Penner опубликовал незакрытую уязвимость в KDE (Dolphin, KDesktop). Если пользователь откроет директорию, где содержится специально сконструированный файл чрезвычайно простой структуры, код из этого файла будет выполнен от имени пользователя. Тип файла определяется автоматически, поэтому основное содержание и размер файла может быть любым. Однако требуется, чтобы пользователь самостоятельно открыл директорию файла. Причиной уязвимости называется недостаточное следование спецификации FreeDesktop разработчиками KDE.

>>> Подробности

Ответ на: комментарий от bormant

Вы неправильно поняли. Я имел в виду, что разрешать всякие $e следует лишь для конфигов в доверенных каталогах, а не в каждом попавшемся. Из упоминания $XDG_CONFIG_HOME это должно было быть ясно, в общем-то.

А ограничивать пути запускаемых команд бессмысленно, это да.

Rootlexx ()
Ответ на: комментарий от anonymous

что прикажешь делать юзерам, сносит кде? Выключать комп?

Снимать штаны и бегать. Что хочешь. Конкретно этот человек твой комп не взламывал, а просто тебя проинформировал: кде - решето. Какие претензии? Наоборот, предупрежден - вооружен.

Теобальд

anonymous ()
Ответ на: комментарий от anonymous

Нет, потому что даже, если кдешники оперативно выпустят патч, пока мейнтейнеры дистрибутивов все пересоберут и это попадет в репы, все это время системой считай что пользоваться нельзя. То есть он парализовал работу множества компов, а мог бы подождать немного. Это здравый смысл. Тут правильно сказали, если разрабы кде забьют, то другое дело, это будет на их совести. Ну вот вытащил он эту новость в паблик и что прикажешь делать юзерам, сносит кде? Выключать комп?

anonymous или глупец или подлец. Рассказав всему миру KDE пользователи могут перестать пользоваться этой СРС и пользоваться другой, пока не устранят уязвимость. В противном случае уязвимость могли использовать злоумышленники против ничего не подозревающих пользователей.

anonymous ()
Ответ на: комментарий от anonymous

Просто тех, кто захочет использовать уязвимость в своих целях будет больше. Особенно если нет решения, как по-быстрому закрыть/ослабить проблему. А кто хочет использовать проблему в корыстных целях — вообще ничего публиковать не будет.

Да и вероятность, что злоумышленник среди разработчиков… Ты как её оцениваешь? Если он там есть, боюсь, тут проблема уже куда круче, нежели находка одной уязвимости.

А так, просто будет дешёвый хайп, как с недавней «уязвимостью» в VLC. Которая решена уже года 1.5-2 как, но аффтар просто взял древнюю версию и прославился на весь твиттер. И кстати, VLC как раз просят писать про уязвимости по определённому адресу. Как минимум при таком подходе:

  1. они могли сказать, что проблема решена и просто нужно обновить VLC (пардон, а как исправить без обновления?). Но тогда бы хайпа не было бы…
  2. перед публикацией анонса или фикса придумать и предоставить способ ослабления проблемы, типа «выключите такую настройку и дождитесь выпуска финального фикса».

Хотя, что я тут распинаюсь :) Посмотрим на тебя, когда ты или твои родные/близкие пострадают от подобного рода уязвимости, опубликованной в паблике, но для которой нет решения на текущий момент. И пусть эта уязвимость будет, например, в мозгах нового авто, или самолёта, которым летишь, или… в общем там, где непосредственно ты ничего сделать не можешь. Но, допустим, после предварительного экспертного анализа могла быть выдана рекомендация: проблема не будет наблюдаться, если не открывать заднее правое окно. До окончательного решения вполне можно и так поездить.

h4tr3d ★★★★★ ()
Ответ на: комментарий от anonymous

В архиве может быть что-то «невинное», фотки, музыка, где зловреда совсем не ждешь.

Я это понимаю. И хотя вероятность атаки почти нулевая (ну кто будет всерьез рассчитывать на 0.3% пользователей?) лучше архивы пока не скачивать с непроверенных источников и флэшки чужие открывать осторожно. Хотя я и сейчас с непроверенных источников ничего не качаю. Соответственно не вижу причин для паники косящей пациентов в этом треде. Хотя мысль перейти на гном конечно появилась, если разработчики кед настолько идиоты то я уже не уверен стоит ли пользоваться их поделкой в дальнейшем.

mbivanyuk ★★★★★ ()
Ответ на: комментарий от anonymous

предупрежден - вооружен. Теобальд

Бездумное применение популярных высказываний.

Вариант 1, постим в твиттере хайпа ради:

  • исследователь_в_паблик: «Замок марки XXX можно вскрыть скрепкой, просто надавив сюда»
  • тот_кто_будет_вооружён_данным_знанием1: так, быстро покупаю личинку, откручиваю болт, ставлю, закручиваю, профит!
  • тот_кто_будет_вооружён_данным_знанием2: лол! гыгыгы! пацаны! я пол подъезда открыл!!!
  • тот_кто_НЕ_будет_вооружён_данным_знанием: мамочки! что делать-то!

Вариарт 2, сообщаем разработчикам замка

  • исследователь_производителю: «Замок марки XXX можно вскрыть скрепкой, просто надавив сюда»
  • Производитель_замка_в_паблик: «Замок марки ХХХ содержит серьёзную уязвимость, рекомендуем срочно заменить личинку, самостоятельно или обратиться по телефону YYYYYYYYY, пока личинка не заменена используйте второй замок, задвижку или, хотя бы, цепочку».
  • тот_кто_будет_вооружён_данным_знанием1 (без изменений): так, быстро покупаю личинку, откручиваю болт, ставлю, закручиваю, профит!
  • тот_кто_будет_вооружён_данным_знанием2: пацаны, тыкал тыкал такой замок, чото туфта всё это, не открывается.
  • тот_кто_НЕ_был_вооружён_прошлым_знанием: так, задвижку задвинул, второй замок закрыл, цепочку повесил, по телефону позвонил, завтра придут менять

Видишь? Кого-то знание может вооружить и подготовить к преодолению опасности. Но далеко не всех. Или не так. До кого-то информация может просто не дойти — не специалист он и всё тут.

h4tr3d ★★★★★ ()
Ответ на: комментарий от h4tr3d

Я хз, живу в деревне, двери не запираю, уважительно отношусь к посетителям лора, искренне верю, что поставить замок и снести кеды анонимус с руками из плеч сможет.

А твоя позиция держать людей за сволочей или лохов.

Теобальдус

anonymous ()
Ответ на: комментарий от mbivanyuk

Я же не спорю что эта уязвимость в кедах эпичная дыра, но паническая реакция в стиле «все пропало» тоже превышает разумные пределы. Лично мое мнение - да никому мы не нужны со своими парой десятых от 1%.

ну тогда я с тобой согласен )

pihter ★★ ()
Ответ на: комментарий от meliafaro

а почему МСы не приделают возможность ДЕшку от ХР(или типа того) использовать на новых виндах? Ну этим же пользоваться невозможно! Хрен где че найдешь, хрен чего сможешь. 20 лет за компом сижу, а на винду смотрю теперь как баран на новые ворота

Проблема точно в Винде?;) У людей помоложе обычно проблем не возникает)

Нет, не точно )

да и у меня, наверное, не возникло бы, если бы я им пользовался.

pihter ★★ ()
Ответ на: комментарий от h4tr3d

А так, просто будет дешёвый хайп, как с недавней «уязвимостью» в VLC. Которая решена уже года 1.5-2 как, но аффтар просто взял древнюю версию и прославился на весь твиттер.

Не, ты искажаешь картину.

Автор взял просто Ubuntu 18.04 LTS (актуальный дистрибутив ), где была старая версия в штатных репах.

И она оказалась уязвима. И тут уж не так всё просто.

Это наглядная демонстрация проблемы, что в Debian зачастую отсутсвует нормальное отслеживание секурных исправлений (ну там в апстриме не стали помечать, то сё...). И сидит пользователь на стабильном софте с дыркой 🙂

Причём довольно забавно написано тут

https://www.videolan.org/vlc/download-ubuntu.html

VLC for Ubuntu and many other Linux distributions is packaged using snapcraft. This allows us to distribute latest and greatest VLC versions directly to end users, with security and critical bug fixes, full codec and optical media support.
If you wish to install the traditional deb package, it is available as usual via APT, with all security and critical bug fixes.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 3)
Ответ на: комментарий от mbivanyuk

Какая разница если я всё равно запускаю скаченные с варезников файлы и скрипты и без desktop файлов? Как это делают и остальные 100% людей? Я не скачиваю файлы, которые выглядят подозрительными, и уж тем более не распаковываю их. Проблема выглядит несколько надуманной.

anonymous ()
Ответ на: комментарий от fornlr

Сесурность дебилиана несколько переоценена, только и всего. В контексте безопасности можно рассматривать только коммерческие дистры (не зависящие от апстримных дебилианов).

anonymous ()
Ответ на: комментарий от anonymous

двери не запираю, уважительно отношусь

Что-то тут не сходится, не похож ты на деревенского. Не знаю как у вас, а у нас по деревням шароёбятся асоциальные (наркота, синька) ещё не сдохшие до конца элементы. Мак там ищут и прочее, хер их знает. Хотя новые тоже плодятся. Ну и просто добрососедские отношения когда обязательно нужно что-нибудь украсть пока никто не видит.

anonymous ()
Ответ на: комментарий от Rootlexx

Вы неправильно поняли. Я имел в виду, что разрешать всякие $e следует лишь для конфигов в доверенных каталогах, а не в каждом попавшемся

Действительно неправильно понял.
В свое оправдание могу сказать только то, что наличие фичи, которую «можно использовать только там, где она совершенно не нужна, и нельзя там, где от нее мог бы быть хоть какой-то прок» — так себе достижение, никакой пользы окромя потенциального вреда не несущее. И удалить ее вовсе, а не чинить предполагаемым образом, вполне разумное для такой ситуации решение.

Хранить настройки каталогов в одном конфиге в доверенном расположении смотрится немного лучше. Тут риск несанкционированного случайного изменения сопоставим с риском запуска любого другого вредоносного скрипта из недоверенного источника, читай — не хуже, чем уже есть.

bormant ★★★★★ ()
Последнее исправление: bormant (всего исправлений: 1)
Ответ на: комментарий от bormant

Это неудобно и накладно - забитый мусором конфиг уже несуществующих каталогов, за которым требуется следить. Сам не переваривариваю thumbs.db в винде, и .Directory в кедах, потому что это мусор. Кстати в кедах эта фича не отключается и в директории «Десктоп» после перезагрузки создается этот мерзкий файл.

anonymous ()
Ответ на: комментарий от Alexanderuser

называть этикой необходимость уведомления сркытно разработчика не выпуская в паблик - лицемерие

У тебя в голове каша.
Это не лицемерие, а нормальная устоявшаяся практика используемая вменяемыми людьми.

WatchCat ★★★★★ ()
Ответ на: комментарий от WatchCat

Это хуже, чем лицемерие. От кулхацкеров шептание на ушко не спасет, они раньше всех узнают об опасностях. Публика в первую очередь должна знать о конце света.

anonymous ()
Ответ на: комментарий от h4tr3d

Это всё здорово, но есть ещё
Вариант 3, сообщаем разработчикам замка

  • исследователь_производителю: «Замок марки XXX можно вскрыть скрепкой, просто надавив сюда»
  • производитель_замка_исследователю: «Благодарим Вас за ценную информацию. Наши специалисты блаблабла. Мы непрерывно трудимся и неустанно заботимся блаблабла...»
  • всё.
yuran ★★ ()
Ответ на: комментарий от bormant

Вообще говоря, эта штука задумывалась для конфигурационных файлов и KIOSK, чтобы администратор мог подготавливать шаблонную конфигурацию для пользователей. Например, если в конфиге нужно указать полный путь, то в /etc кладётся файлик с:

[Group]
path[$e]=$HOME/dir
- и у каждого пользователя будет свой путь.

Т.е. это не для файлов .directory задумывалось - так вышло, что они имеют тот же формат, что и конфиги, и парсятся точно так же.

Rootlexx ()
Ответ на: комментарий от Rootlexx

path[$e]=$HOME/dir

Эту часть разве тоже убили? Насколько вижу, речь только о $()

some[$e]=$(нечто)

PS. Раскрытие переменных на месте:
https://mail.kde.org/pipermail/kde-announce/2019-August/000047.html
KDE5: https://cgit.kde.org/kconfig.git/commit/?id=5d3e71b1d2ecd2cb2f910036e614ffdfc...
KDE4: https://cgit.kde.org/kdelibs.git/commit/?id=2c3762feddf7e66cf6b64d9058f625a71...

bormant ★★★★★ ()
Последнее исправление: bormant (всего исправлений: 1)
Ответ на: комментарий от bormant

Эту часть разве тоже убили?

Нет, конечно. Я и не утверждал, что прибили. Я лишь объяснил, зачем вообще эта функциональность, не предусмотренная стандартом, была написана.

Rootlexx ()
Ответ на: комментарий от alexferman

/etc/skel чем не подходит?

Это ортогональные вещи. Этот конфигурационный файлик может и в skel лежать. (Хотя здесь есть нюанс с тем, что содержимое skel единственный раз копируется в домашний каталог пользователя при его создании, поэтому изменения в конфигурации затронут лишь новых пользователей.)

Но если нужно, чтобы у каждого пользователя было соответствующее ему содержимое конфигурационных файлов, то здесь-то и пригождается данная функциональность.

Rootlexx ()
Ответ на: комментарий от mbivanyuk

ну кто будет всерьез рассчитывать на 0.3% пользователей?

Ты просто не разбираешься в вопросе.

лучше архивы пока не скачивать

Сейчас понятное дело, а сколько времени эта уязвимость была в узких кругах.

anonymous ()
Ответ на: комментарий от WatchCat

даже в описании фикса сделали пометку «в след раз неплохо бы сначала сообщить разработчикам о багах».

вообще ?как понять мышление разработчиков:

занимаются открытым кодом, свободным ПО, но баг репорты почему-то требуют закрывать.

зачем заниматься открытым ПО, если вы не готовы быть открытыми и прозрачными.

P.S.: рассуждения типа это может привести к катастрофе не логичны. ведь разве само наличие уязвимости не является катастрофой? кто сказал, что она не эксплуатировалась всё это время отдельными группами? тогда какая разница кем, если твоя машина при необходимости будет атакована со 100% успешностью. потом кто сказал, что при оглашении уязвимости все массово кинуться ломать сервера? те, кому это надо наверняка уже знают как это сделать (и возможно знали об этой конкретной уязвимости в том числе). где гарантия, что скрытие уязвимости, не приведёт к её эксплуатации втихую доверенными лицами разработчика?

вся информация должна быть только публичной, как и сам код.

Alexanderuser ()
Ответ на: комментарий от anonymous

Кстати в кедах эта фича не отключается и в директории «Десктоп» после перезагрузки создается этот мерзкий файл.

Отключается оно, я писал где-то в этой теме как. Полуркай.

EXL ★★★★★ ()
Ответ на: комментарий от EXL

Да нет смысла отключать эту тему, достаточно пофиксить сорц КДЕ и всё. Это просто. КуТэ компилируется всего 5 часов и всего лишь требует очень много памяти.

anonymous ()
Ответ на: комментарий от h4tr3d

Просто тех, кто захочет использовать уязвимость в своих целях будет больше. Особенно если нет решения, как по-быстрому закрыть/ослабить проблему. А кто хочет использовать проблему в корыстных целях — вообще ничего публиковать не будет.

Да и вероятность, что злоумышленник среди разработчиков… Ты как её оцениваешь? Если он там есть, боюсь, тут проблема уже куда круче, нежели находка одной уязвимости.

А так, просто будет дешёвый хайп, как с недавней «уязвимостью» в VLC. Которая решена уже года 1.5-2 как, но аффтар просто взял древнюю версию и прославился на весь твиттер. И кстати, VLC как раз просят писать про уязвимости по определённому адресу. Как минимум при таком подходе:

они могли сказать, что проблема решена и просто нужно обновить VLC (пардон, а как исправить без обновления?). Но тогда бы хайпа не было бы…

перед публикацией анонса или фикса придумать и предоставить способ ослабления проблемы, типа «выключите такую настройку и дождитесь выпуска финального фикса». Хотя, что я тут распинаюсь :) Посмотрим на тебя, когда ты или твои родные/близкие пострадают от подобного рода уязвимости, опубликованной в паблике, но для которой нет решения на текущий момент. И пусть эта уязвимость будет, например, в мозгах нового авто, или самолёта, которым летишь, или… в общем там, где непосредственно ты ничего сделать не можешь. Но, допустим, после предварительного экспертного анализа могла быть выдана рекомендация: проблема не будет наблюдаться, если не открывать заднее правое окно. До окончательного решения вполне можно и так поездить.

h4tr3d ★★★★★ (09.08.19 02:51:52)

Если я знаю, что в KDE есть уязвимость, перестаю пользоваться KDE и пользуютсь MATE пока уязвимость не закроют. И это логично. Если бы не рассказал про уязвимость на всю плоскую Землю, то была бы вероятность, что кто-то бы мог использовать эту уязвимость. Судя по тому как ты упорствуешь, я делаю вывод что ты относишься ко второй породе людей: подлец, который жалеет о том, что не мсог воспользоваться данной уязвимостью.

anonymous ()
Ответ на: комментарий от jtad

Кде ставят в основном виндузятники, которые любят чтобы линух был похож на винду

А Винда похожа на OS/2 PM, поэтому Винду ставят в основном полуосники, которые любят, чтобы линюх был похож на Полуось.

Боги, это даже не поколение ЕГЭ, это поколение дегенера-ов...

GluckMan ★★★ ()
Ответ на: комментарий от GluckMan

при чем тут ось времен маммонта и люди приходящие в линух с современной винды? Я не поколение вашего егэ, я 73 года рождения, имею образование fachinformatiker и работал одно время админом. Это еще большой вопрос кто тут дегенерат

jtad ()
Ответ на: комментарий от GluckMan

Кеды всегда очень похожи на актуальную винду. Меняется лукнфил винды, тут же меняются и кеды. Виндузятникам там уютно, понятное дело. Все бы ничего, но кеды это же глюкодром уровня вин98. Нормальный человек не будет в таком окружении работать, либо вернется на винду, либо поищет что получше. Остаются только дуалбутчики и старые заскорузлые утята (некоторые даже сидят на третьекедах).

bread ()
Ответ на: комментарий от bread

alexferman по твоему не нормальный человек? Он ведь даже Manjaro пользуется, в лучших традициях мышевозника.

глюкодром

И жирнота. Я помню у KDE4 фризы на десятки секунд после загрузки. Хотя удобные, да. А четвертокеды еще и страшные были как черт и дубовостью интерфейса веяло.

anonymous ()