Не могу. Но на основании

Причиной уязвимости называется недостаточное следование спецификации FreeDesktop разработчиками KDE.

И что в закрытом банк они пишут, что никогда это не использовали, создаётся впечатление, что они это подсмотрели. Но это неточно.

Значит балабол.

Рад, что за время моего отсутствия твоя гнилая натура не изменилась. Теперь, правда, реже это показываешь после того, как с Одалистом по шапке получили. Запомни, Маня: Я ничего не обязан тебе доказывать.

Вот кто за это гуано отвечает?

Ты в том числе.

Писать багрепорты в англоязычные багтрекеры по опыту совершенно не хочется

В ОЗПП напиши, по-русски.

То есть, ты прав конечно, во всём.
Но тут у нас своя атмосфера, где никто ничего никому и любой пловец хотябы минимально должен уметь грести.

под рукой только эти версии, но учитыва то, что старая тринити TDE-3.5.13 была полностью обратносовместима с KDE3, и на обоих версиях TDE 3.5.13.x & 14.0.6 - этот баг присутствует то да, я думаю что и KDE3 были подвержены этим багом

к стати, в тринити достаточно шустро принимают решения :о)

url1 [url2=https://mirror.git.trinitydesktop.org/gitea/TDE/tdelibs/commit/1074eb033654bd...

будет время, проверю на текущей версии TDE-14.0.6

будет время, проверю на текущей версии TDE-14.0.6

Смотри выше: Незакрытая уязвимость в KDE (комментарий)

а что мне там еще смотреть? читать я умею :о) почитал... ну и ... вы считаете принятого патча недостаточно?

URL1

URL2

в КДЕ любят кота за всевозможные резиновые места тянуть... пока они не лопнут или не начинают тормозить или падать :о)

Битый линк был в предыдущем посте.

Я только не понял, у нас теперь в TDE где самый-самый главный багтрекер?
А то ж я поиском то поискал, прежде чем баг создавать.

по-моему он появился с выходом версии TDE-14.0.6

Debian стабильный, хороший, стабильный дистрибутив

- Еще стабильный, а кроме того, стабильный. Нет, ну вы поняли - стабильный, я имею в виду, стабильный-престабильный, стабильный, как сама стабильность! Стабильный, я сказал!!

Напряженная истерика прерывается звуками неудержимого фапа.

Нет этого в спецификации. Это сделали в KDE ещё в лохматые годы для KIOSK. Т.е. это пример того, когда это действительно фича, а не баг.

Проблема не в наличии этой функциональности, а в том, что эти фокусы должны были быть разрешены только для доверенных путей: /usr/..., /etc/..., $XDG_CONFIG_HOME и т.д. И вместо того чтобы реализовать как надо, эту функциональность теперь просто выпилили. «Молодцы», что уж там.

TDE или LXQT обладают нормальным дизайном

Говорить о дизайне признак латентной педерастии. Нужен дизайн, иди на Гном петушок.

Биполярочка одолеваэ.

А потом почекай темы в период выхода 9ки, 8ки, 7ки, 6ки и даже 5ки и увидь ту же картину

Тот неловкий момент, когда хотел написать аргумент в защиту Дебиан, а вышло ровно наоборот.

а почему МСы не приделают возможность ДЕшку от ХР(или типа того) использовать на новых виндах? Ну этим же пользоваться невозможно! Хрен где че найдешь, хрен чего сможешь. 20 лет за компом сижу, а на винду смотрю теперь как баран на новые ворота

Проблема точно в Винде?;) У людей помоложе обычно проблем не возникает)

Вам не нравится желание сэкономить свое рабочее и личное время?

Конечно, поэтому я и использую Гном.

1. 7+ Taskbar Tweaker - поможет сделать область уведомления лкассической. ПКМ - закрыть, развернуть, свернуть, а не shift+ПКМ. 2. Explorer++ - привычный на внешний вид файловый менеджер. 3. Classcic shell - привычное каскадное меню пуск. 4. Замену explorer.exe для 10-ки тоже где-то находил. Не благодари.

1. Костыли. 2. Инвалидка. 3. Медицинская утка. 4. Вставная челюсть. Не благодари.

Мимо. Совсем беспроблемного софта не бывает по определению. Какая-то часть пользователей при выходе крупного обновления всегда столкнется с проблемами. А по вине дистрибутива или по своей вине совсем другой вопрос. Вот и все что я написал.

Рад, что за время моего отсутствия

Ты где был-то? Нервишки от регистрантов лечил?

Теперь, правда, реже это показываешь после того, как с Одалистом по шапке получили.

Кто такой Одалист и кто там по шапке получил? Я что-то пропустил этот момент.

Запомни, Маня

Это ты Маня из деревни Похлебкино. А меня Галым зовут.

Какой?

Да такой, что пользователи не могут беспроблемно обновиться или установить систему.

Ты где был-то? Нервишки от регистрантов лечил?

Ну не без этого.

Кто такой Одалист и кто там по шапке получил? Я что-то пропустил этот момент.

Тоже отсутствовал? Он тут был знатным ненужистом.

А меня Галым зовут.

Галым, не Галым не важно. Будешь Маней.

Причиной уязвимости называется недостаточное следование спецификации FreeDesktop разработчиками KDE.

э, нет. если б они просто подставляли то ничего бы не было. получили бы строку на выходе и всё. они исполняют эту строку.

потому что рукожопы:

while ((nEndPos <= aValue.length()) && (aValue[nEndPos] != QLatin1Char(')')))

Вот интересно, как это будет фикситься во всяких там Debian’ах, CentOS’ах и RHEL’ах, где старые ещё четвёртые кеды на поддержке.

Будут бэкпортировать патч или забьют? Дырка-то знатная.

Хоть KDE и редко кто там пользуется на подобных стабильных дистрах, прецендент будет интересный.

Ты из веба скачал архив с прогой, распаковал, открыл, весь твой хомяк улетел ко мне на сервак

Я как-то не совсем понимаю если у злоумышленника есть возможность внедрить вредоносный код в архив то какой смысл ему рассчитывать на уязвимость в KDE которым пользуется далеко не каждый если можно внедрить сразу в бинарник который ты ставить будешь. Я же не спорю что эта уязвимость в кедах эпичная дыра, но паническая реакция в стиле «все пропало» тоже превышает разумные пределы. Лично мое мнение - да никому мы не нужны со своими парой десятых от 1%.

Сколько таких пользователей? Каков процент таких пользователей по отношению к тем, кто не испытал проблем? Эти пользователь испытывают трудности по своей вине или по вине дистрибутива? Без этих данных просто пук.

KDE которым пользуется далеко не каждый если можно внедрить сразу в бинарник который ты ставить будешь.

Потому что трактовка не верная. Скачал я архив с исходниками, с документами, с чертежами. Распаковал и бабах 💥

А так да, KDЕшники никому не нужны. Поэтому всё равно.

Но если говорить вообщем про линуксы — то это не так. Можно вспомнить Майнеры в Snap Store. Можно вспомнить уязвимость в Firefox PDF.js, которая использовалась и предусмотрели линуксы тоже.

Будут бэкпортировать патч или забьют? Дырка-то знатная.

Ну патч же простой. Уже же латали другую эпичную уязвимость

https://security-tracker.debian.org/tracker/CVE-2018-6791

Потому что вместо того чтобы напрямую написать разработчикам об обнаруженной уязвимости, он решил на ней попиариться.

я уверен, если б он не опубликовал это пока горячее, то так быстро бы не пофиксили. а может бы и вообще висело годами бы.

в этом и суть свободного ПО и это пример того, как оно должно работать. и это, на секундочку, логично. если код открыт, почему багрепорты должны быть под ковром?

не считаю, что он хотел попиариться. считаю, что им движело стремление улучшить код. а для чего иначе человек тратит своё личное время на эту уязвимость. а если и получился в итоге пиар, то почему нет - он достоин этого.

Потому что вместо того чтобы напрямую написать разработчикам об обнаруженной уязвимости, он решил на ней попиариться.

И правильно сделал. Ну не тот уровень проекта, чтобы там на ушко шептать, а то вдруг кто пострадает.

Ну вот у меня затычка вместо видюхи и почти все современные дистры ставятся, но при запуске черный экран или нет выбора частоты монитора. И только Debian 10 поставился, хоть и грузится в консоль. Ввожу логин/пароль, startx и совершенно рабочая система, выбор частот есть. Софт свежак пока (по сравнению с моей трехлетней Ubuntu 16.04).

Что пробовал: openSUSE Tumbleweed - нет выбора частоты, Manjaro - в Live работает, после установки черный экран, Mageia 7 Beta - в Live черный экран, при установке все работает (кроме модема). Xubuntu 18.04 тоже работает, новее черный экран.

В архиве может быть что-то «невинное», фотки, музыка, где зловреда совсем не ждешь.

самая разумная мысль из всего обсуждения

Проблема не в наличии этой функциональности, а в том, что эти фокусы должны были быть разрешены только для доверенных путей:

/usr/..., 
/etc/..., 
$XDG_CONFIG_HOME 
и т.д. 

И вместо того чтобы реализовать как надо, эту функциональность теперь просто выпилили.

Молодцы, что уж там.

...

согласен, вот так вот нунче и «пищуца» плазмы и пр. софт... нет трупа - нет проблемы

... беда...

Что с фиксом?

Проблема не в наличии этой функциональности, а в том, что эти фокусы должны были быть разрешены только для доверенных путей: /usr/..., /etc/..., $XDG_CONFIG_HOME и т.д.

Говорите, /usr/bin/ достаточно доверенный?

А так?

$ which rm
/usr/bin/rm

Видишь только чёрное и белое? Уязвимости нужно рапортовать напрямую разработчикам, особенно если нет лекарства или WA. Разработчики или посоветуют, что сделать, что бы минимизировать риск возникновения проблемы или выпустят быстрый патч. Тем более что для уязвимостей почти у всех проектов есть отдельные списки, контакты и т.п.

Я при своём мнении остался, если знают все, то это честно. Если знает ограниченное количество людей, то среди них всегда найдется один или несколько, кто захочет использовать эту уязвимость в своих целях. Это должно быть очевидно и ребёнку.

Я думал ты свалил, а ты мазохист оказывается.

Откуда свалил?

согласен, наличие головы не отменяет еЁ использование :о)

в таком свете, да, лучше отказаться от всех плюсов и просто запретить любую возможность

опять же... нет дырки - не проблемы :о)))

спасибо

Это очень хорошо...хо, хо, хо. Тут некоторые дейтели (оставим их возраст в стороне), мне утверждали, что KDE-это хорошо, это модно и молодежно, что я старый фанат косоли и тайлинга...Ну а я, как и утверждал, так и буду утверждать-эти ваши гномы, кеды, мате и прочая ерунда-решето.

Что с фиксом?

Вам никакой фикс уже не поможет. Увы. По существу эта КДЕ-одна большая уязвимость.

Кто это тут у нас раздухарился и снова начал попискивать?

Вот и говорю. Тут фикс бесполезный. Вам мышление нужно менять, обожатели свистоперделочного дизайна, aka windows 10.

Я задал конкретный вопрос, непонятно с чего ты взял, что мне нужны советы малолетних пердоликов

Откуда свалил?

С линупса домой на винду. Не наигрался еще штоле?

Вот и говорю. Тут фикс бесполезный. Вам мышление нужно менять, обожатели свистоперделочного дизайна, aka windows 10.

ГИП MS WIN95 ВПОЛНЕ СЕБЕ ИДЕАЛЕН.

Что с фиксом?

Thu Aug  8 05:25:56 UTC 2019
patches/packages/kdelibs-4.14.38-x86_64-1_slack14.2.txz:  Upgraded.
  kconfig: malicious .desktop files (and others) would execute code.
  For more information, see:
    https://mail.kde.org/pipermail/kde-announce/2019-August/000047.html
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14744
  (* Security fix *)
+--------------------------+

Для KDE5 — описание там же.

И правильно сделал.

Нет. Правильно это написать в security@kde.org
А он повёл себя как типичная attention whore.

я уверен,

Да-а-а, железобетонный аргумент.

называть этикой необходимость уведомления сркытно разработчика не выпуская в паблик - лицемерие

он как раз поступил этично

Нет, потому что даже, если кдешники оперативно выпустят патч, пока мейнтейнеры дистрибутивов все пересоберут и это попадет в репы, все это время системой считай что пользоваться нельзя. То есть он парализовал работу множества компов, а мог бы подождать немного. Это здравый смысл. Тут правильно сказали, если разрабы кде забьют, то другое дело, это будет на их совести. Ну вот вытащил он эту новость в паблик и что прикажешь делать юзерам, сносит кде? Выключать комп?

Я наигрался с виндой и арчем и перешел на линукс.