Kubuntu og KDE sikkerhedsråd

KDE Sikkerhedsråd

KDE Project Security Advisory

Titel: Plasma Desktop: Udførsel af tilfældig kode i `device-notifier`
Risiko Rating: Høj
CVE: CVE-2018-6791
Versioner: Plasma < 5.12.0
Dato: 8 February 2018

Oversigt

Når et vfat formatteret usb medie hvor filsystemets navn indeholder “ eller $() bliver indsat og monteret ved hjælp af device-notifier, vil navnet blive opfattet som en terminal kommando. Dette giver mulighed for afvikling af tilfældig kode, for eksempel et navn som $(touch b) vil oprette en fil med navnet b i brugerens hjemme mappe.

Hvad gør du

Monter flytbare enheder med Dolphin i stedet for device-notifier.

Løsning

Opdater til Plasma >= 5.12.0 eller Plasma >= 5.8.9

Eller installer et af følgende patch:

Plasma 5.8:

  • https://commits.kde.org/plasma-workspace/9db872df82c258315c6ebad800af59e81ffb9212

Plasma 5.9/5.10/5.11:

  • https://commits.kde.org/plasma-workspace/f32002ce50edc3891f1fa41173132c820b917d57

Kredit

Tak til ksieluzyckih for rapporten og til Marco Martin for løsningerne.