forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в KDE, позволяющая выполнить код при подключении ..."
Отправлено opennews, 08-Фев-18 13:05

В опубликованном позавчера выпуске KDE Plasma 5.12 (https://www.opennet.ru/opennews/art.shtml?num=48027) устранена опасная уязвимость (https://www.kde.org/info/security/advisory-20180208-2.txt) (CVE-2018-6791 (https://security-tracker.debian.org/tracker/CVE-2018-6791)), позволяющая выполнить код при подключении Flash-накопителя со специально оформленной меткой раздела VFAT. Проблема пока остаётся неисправленной в дистрибутивах (Debian (https://security-tracker.debian.org/tracker/CVE-2018-6791), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...), openSUSE (https://lists.opensuse.org/opensuse-security-announce/2018-02/), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F27&type=s...)), для ветки KDE 5.8 подготовлен (https://bugs.kde.org/show_bug.cgi?id=389815) патч (https://cgit.kde.org/plasma-workspace.git/commit/?id=9db872d...).
Уязвимость присутствует в системе вывода уведомления о подключении внешнего носителя информации. Если метка раздела VFAT содержит символы `` или $(), то при монтировании через диалог с уведомлением о подключении устройства данные символы интерпретируются как команды shell. Например, если установить метку раздела в "$(touch b)", то будет выполнена команда "touch b" для создания файла в домашнем каталоге пользователя. Для обхода уязвимости предлагается монтировать накопители не через диалог уведомления о новом устройстве, а в файловом менеджере Dolphin.
В KDE 5.12 также устранена неопасная уязвимость (https://www.kde.org/info/security/advisory-20180208-1.txt) (CVE-2018-6790), которая может привести к утечке IP-адреса пользователя. Проблема вызвана поддержкой встраивания в уведомления изображений, которые загружаются с внешнего хоста. Например, участник чата может инициировать отображение сообщения с картинкой в уведомлении на рабочем столе и определить IP другого участника чата.

URL: https://www.reddit.com/r/kde/comments/7w3han/kde_project_sec.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=48038

Исходное сообщение
"Уязвимость в KDE, позволяющая выполнить код при подключении ..." Отправлено opennews, 08-Фев-18 13:05
В опубликованном позавчера выпуске KDE Plasma 5.12 (https://www.opennet.ru/opennews/art.shtml?num=48027) устранена опасная уязвимость (https://www.kde.org/info/security/advisory-20180208-2.txt) (CVE-2018-6791 (https://security-tracker.debian.org/tracker/CVE-2018-6791)), позволяющая выполнить код при подключении Flash-накопителя со специально оформленной меткой раздела VFAT. Проблема пока остаётся неисправленной в дистрибутивах (Debian (https://security-tracker.debian.org/tracker/CVE-2018-6791), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...), openSUSE (https://lists.opensuse.org/opensuse-security-announce/2018-02/), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F27&type=s...)), для ветки KDE 5.8 подготовлен (https://bugs.kde.org/show_bug.cgi?id=389815) патч (https://cgit.kde.org/plasma-workspace.git/commit/?id=9db872d...). Уязвимость присутствует в системе вывода уведомления о подключении внешнего носителя информации. Если метка раздела VFAT содержит символы `` или $(), то при монтировании через диалог с уведомлением о подключении устройства данные символы интерпретируются как команды shell. Например, если установить метку раздела в "$(touch b)", то будет выполнена команда "touch b" для создания файла в домашнем каталоге пользователя. Для обхода уязвимости предлагается монтировать накопители не через диалог уведомления о новом устройстве, а в файловом менеджере Dolphin. В KDE 5.12 также устранена неопасная уязвимость (https://www.kde.org/info/security/advisory-20180208-1.txt) (CVE-2018-6790), которая может привести к утечке IP-адреса пользователя. Проблема вызвана поддержкой встраивания в уведомления изображений, которые загружаются с внешнего хоста. Например, участник чата может инициировать отображение сообщения с картинкой в уведомлении на рабочем столе и определить IP другого участника чата. URL: https://www.reddit.com/r/kde/comments/7w3han/kde_project_sec.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=48038

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В опубликованном позавчера выпуске KDE Plasma 5.12 (https://www.opennet.ru/opennews/art.shtml?num=48027) 
> устранена опасная уязвимость (https://www.kde.org/info/security/advisory-20180208-2.txt) 
> (CVE-2018-6791 (https://security-tracker.debian.org/tracker/CVE-2018-6791)), позволяющая 
> выполнить код при подключении Flash-накопителя со специально оформленной меткой раздела 
> VFAT. Проблема пока остаётся неисправленной в дистрибутивах (Debian (https://security-tracker.debian.org/tracker/CVE-2018-6791), 
> Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-6791.html), 
> openSUSE (https://lists.opensuse.org/opensuse-security-announce/2018-02/), Fedora 
> (https://bodhi.fedoraproject.org/updates/?releases=F27&type=security)), для ветки 
> KDE 5.8 подготовлен (https://bugs.kde.org/show_bug.cgi?id=389815) патч (https://cgit.kde.org/plasma-workspace.git/commit/?id=9db872df82c258315c6ebad800af59e81ffb9212).

> Уязвимость присутствует в системе вывода уведомления о подключении внешнего носителя информации. 
> Если метка раздела VFAT содержит символы `` или $(), то при 
> монтировании через диалог с уведомлением о подключении устройства данные символы интерпретируются 
> как команды shell. Например, если установить метку раздела в  "$(touch 
> b)", то будет выполнена команда "touch b" для создания файла в 
> домашнем каталоге пользователя. Для обхода уязвимости предлагается монтировать накопители 
> не через диалог уведомления о новом устройстве, а в файловом менеджере 
> Dolphin.

> В KDE 5.12 также устранена неопасная уязвимость (https://www.kde.org/info/security/advisory-20180208-1.txt) 
> (CVE-2018-6790), которая может привести к утечке IP-адреса пользователя. Проблема вызвана 
> поддержкой встраивания в уведомления изображений, которые загружаются с внешнего хоста. 
> Например, участник чата может инициировать отображение  сообщения с картинкой в 
> уведомлении на рабочем столе и определить IP другого участника чата.

> URL: https://www.reddit.com/r/kde/comments/7w3han/kde_project_security_advisory_arbitrary_command/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=48038

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру