KDE Sikkerhedsråd

KDE Project Security Advisory

Titel: Plasma Desktop: Udførsel af tilfældig kode i `device-notifier`
Risiko Rating: Høj
CVE: CVE-2018-6791
Versioner: Plasma < 5.12.0
Dato: 8 February 2018

Oversigt

Når et vfat formatteret usb medie hvor filsystemets navn indeholder “ eller $() bliver indsat og monteret ved hjælp af device-notifier, vil navnet blive opfattet som en terminal kommando. Dette giver mulighed for afvikling af tilfældig kode, for eksempel et navn som $(touch b) vil oprette en fil med navnet b i brugerens hjemme mappe.

Hvad gør du

Monter flytbare enheder med Dolphin i stedet for device-notifier.

Løsning

Opdater til Plasma >= 5.12.0 eller Plasma >= 5.8.9

Eller installer et af følgende patch:

Plasma 5.8:

  • https://commits.kde.org/plasma-workspace/9db872df82c258315c6ebad800af59e81ffb9212

Plasma 5.9/5.10/5.11:

  • https://commits.kde.org/plasma-workspace/f32002ce50edc3891f1fa41173132c820b917d57

Kredit

Tak til ksieluzyckih for rapporten og til Marco Martin for løsningerne.

https://www.linux-aarhus.dk/wp-content/uploads/2018/02/kde-plasma-dekstop.pnghttps://www.linux-aarhus.dk/wp-content/uploads/2018/02/kde-plasma-dekstop-150x113.pngFrede H.AlleSystemKDE,opdateringKDE Sikkerhedsråd KDE Project Security Advisory Titel: Plasma Desktop: Udførsel af tilfældig kode i `device-notifier` Risiko Rating: Høj CVE: CVE-2018-6791 Versioner: Plasma < 5.12.0 Dato: 8 February 2018 Oversigt Når et vfat formatteret usb medie hvor filsystemets navn indeholder `` eller $() bliver indsat og monteret ved hjælp af device-notifier, vil navnet blive opfattet som en terminal...Et mødested for Linux Brugere i Aarhus