KDE-Desktop: RCE Schwachstelle durch .desktop Dateien

Wie die Hacker News heute morgen berichten, ist im KDE 4/5 Plasma Desktop eine Schwachstelle enthalten, die durch das reine Herunterladen von manipulierten Desktopdateien ( erkennbar an den Endungen .desktop und .directory)  ausgelöst werden kann.

Schwachstelle im KDE Desktop Indexer für Plasma

Die Ursache liegt im unsicheren Indexer, der neue Dateien analysiert und für die Suchfunktion des Desktops aufbereitet.

Dabei werden Umgebungsvariablen aus der analysierten Datei übernommen, was dazu führt, daß ein Angreifer seinen Schadcode ausführen kann. Auch das Auspacken von Archiven triggert den Indexer an, so daß auch dies die Schwachstelle auslöst.

Securityforscher Dominik Penner, der die Lücke direkt an die Hacker News geschickt hat, statt sie dem KDE Security Team zu senden, schreibt dazu:

„When a .desktop or .directory file is instantiated, it unsafely evaluates environment variables and shell expansions using KConfigPrivate::expandString() via the KConfigGroup::readEntry() function,“ Penner said.

„Wenn eine .desktop oder .directory Datei instanziiert wird ( A.d.R.: muß wohl gelesen heißen ), werden auf unsichere Weise Umgebungsvariablen und Shellerweiterungen ausgewertet, in dem die Funktion KConfigPrivate::expandString() via KConfigGroup::readEntry() genutzt wird“ schreibt Penner.

Diese Schwachstelle erinnert extrem stark an die kürzlich gefundenen Schwachstellen in Exim, wo auch die  Inhalte von fremdeingelieferten Strings ausgewertet werden und zu einem Root-Exploit eskalieren.

Bis auf weiteres muß man bei Downloads und dem Auspacken von aus unbekannten/unsicheren Quellen stammenden Archiven extrem vorsichtig sein. Das KDE Team hat einen Patch angekündigt, fertig ist der aber noch nicht.

Wenn ich mich recht entsinne, hatte der Gnome Index auch kürzlich erst so eine Schwachstelle.

Kleines Update: (10:24 Uhr)

Es gibt ein Youtube Video, daß das Problem zeigt. Allerdings wird man als unbedarft neugieriger erstmal unverständlich davor sitzen. Daher möchte ich dazu eine kleine Einleitung geben:

In dem Shellfenster rechts startet Penner „nc -lp 31337“  ( 31337 = „elite“ in L33T-Speak 🙂 ). nc startet also einen Dämon und wartet auf Verbindungen. Plötzlich wird nc beendet und wirft eine Fehlermeldung aus. Das liegt daran, daß das Desktopfile, daß per Firefox runtergeladen wird, sich bzw. ein dadurch gestartetes anderes Programm zu besagtem Port 31337 verbindet.

Das zusammen demonstriert das Problem. Man kann in den Desktopdateien natürlich auch „rm -rf /“ unterbringen, oder den Download von Illegalem Filmmaterial starten.

 

KDE zur besten Desktopumgebung gewählt

„Wie konnte das nur passieren ?“ wird sich der eine oder andere fragen. Die Erklärung ist einfach, die Leser des Linux Journals haben „diese“ Woche KDE zur besten Desktopumgebung gewählt.

ausgerechnet KDE …

Erstmal die Zahlen:

  • KDE: 35%
  • GNOME: 20%
  • Xfce: 15%
  • Cinnamon: 11%
  • MATE: 7%
  • Other: 7%
  • Unity: 3%
  • LXQt: 1%
Die sehen an sich schon komisch aus, normalerweise würde man krummere Werte erwarten.

Für mich sieht das nach einer geringen Beteiligtenrate aus, als für eine aussagekräftige Umfrage nötig wären.  Da die Zahlen aber nicht offen gelegt wurden, werden wir das nie erfahren.

Edit: Wer sich ein Bild machen will von KDE 5 , kann sich dies Video auf Youtube ansehen.

Zum Warum …

Da kann man natürlich nur mutmaßen und sich die Kommentare ansehen. Oh, geht ja gar nicht, wenn man sich nicht bei Disqus einloggen kann. Na  sowas, haben wir hier vielleicht eine kleine elitäre Blase entdeckt? Die Vorschläge zu den Desktops kamen von Twitter, die Abstimmung erfolgte auf der Webseite, die Info über die Abstimmung kam per Feed rein, wird aber vermutlich auch per Twitter und Webseite verbreitet worden sein.

Ich nehme jetzt mal meine LUG als Peergruppe:

Altersdurchschnitt: 60+
Lesen englischer Webseiten: < 5
Nutzen KDE : 1
Wissen was KDE ist : 1
Social Media Aktivitäten : 0

Ich lehn mich mal weit aus dem Fenster:

0 Menschen dieser Peergruppe haben an der Umfrage teilgenommen 😀

Abschluss

Das mir jetzt keiner nachsagen will, ich würde KDE nicht mögen 😉 Stimmt nicht, weil ich damit fast bis gar keine Erfahrungen habe, maße ich mir das nicht an, es nicht zu mögen. Das Linux Journal an sich, hat auch gelegentlich mal gute Beiträge auf Lager. Es per RSS Feed zu beobachten, lohnt sich.

Was ich anprangere, ist der Umstand, das keine Teilnehmerzahl veröffentlicht wurde um die Ergebnisse zu relativieren.

Dem, was ich bei unseren LUG Treffen so sehe, ist das eher so, daß Gnome, XFCE, Cinnamon  und Mate vorn liegen und KDE „abgeschlagen“ ist. Ich z.b. nutze Cinnamon und GNOME parallel auf Desktop und Laptop, GNOME nur, weil es noch Xorg aktiv unterstützt, was man ab und zu braucht.

Quelle: http://www.linuxjournal.com/content/best-desktop-environment