Login
Newsletter
Werbung

Mo, 25. Juli 2016, 14:28

Software::Desktop::KDE

KDE warnt vor KNewstuff

Ein Fehler in KNewstuff erlaubt es Angreifern, Dateien außerhalb des dedizierten Verzeichnisses zu installieren. Die KDE-Entwickler warnen deshalb vor dem Einsatz und empfehlen, auf die Installation von KNewstuff-Inhalten bis zur Korrektur des Fehlers zu verzichten.

kde.org

KNewstuff ist eine Einrichtung innerhalb der KDE-Umgebung, die es Anwendern erlaubt, Erweiterungen oder grafische Änderungen aus Fremdquellen zu installieren. Jede Applikation, die KNewStuff verwendet, kann festlegen, an welchen Datentypen sie interessiert ist, und heruntergeladene Inhalte eigenständig installieren.

Wie David Faure auf der Liste des Projekts bekannt gab, hat sich allerdings ein Fehler in KNewstuff eingeschlichen, der von Angreifern dazu genutzt werden kann, ein System zu kompromittieren. Unzureichende Überprüfung der Installationspfade kann dazu missbraucht werden, dass Pakete außerhalb des eigentlichen Verzeichnisses installiert werden und beispielsweise bestehende Dateien überschreiben oder globale Variablen ersetzen.

Anwender sollten deshalb bis zur Behebung des Problems auf eine Installation von KNewstuff-Inhalten verzichten. KArchive 5.24, das ein Bestandteil der aktuellen Version 5.24 der KDE Frameworks bilden wird, soll das Problem korrigieren. Alternativ können Anwender, die ihren Desktop selbst kompiliert haben, den Commit 0cb243f in karchive.git einspielen.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung