【漏洞预警】KDE Frameworks远程命令执行(CVE-2019-14744)漏洞

2019-08-12 4,301


KDE Framework远程命令执行漏洞

漏洞编号:CVE-2019-14744



漏洞描述
近日,有安全人员在Twitter上披露了一个关于KDE Frameworks的命令执行漏洞。漏洞危害等级严重

该漏洞源于KDesktopfile类在处理.desktop、.directory文件或配置文件时存在缺陷,当实例化.desktop或.directory文件时,它通过KConfigGroup::readEntry使用KConfigPrivate::expandString() 来不安全地标识环境变量和shell扩展(使用特制的.desktop文件,只需在文件管理器中下载和查看文件,或通过将其链接拖放到文档或桌面中,将其解压之后打开文件夹就能够导致恶意文件中的代码执行,无需用户的交互操作(例如执行文件)



影响版本
KDE Frameworks<=5.60.0



漏洞等级


高危


漏洞危害


此漏洞由KDesktopFile类处理.desktop或.directory文件的方式引起。如果受害者下载了恶意构造的.desktop或.directory文件,恶意文件中注入的bash代码就会被执行。


漏洞演示
创建一份包含 .directory 文件的子文件夹的 ZIP 文件。这个目录文件的 Icon 字段中包含一个从服务器中下载 test.sh 脚本的命令并执行以启动 Kcalc。

用户下载test.zip 文件后解压并打开,KDE 就会读取 .directory 文件并执行分配给 Icon 字段的命令。

漏洞修复


使用kedlibs的用户可以利用以下补丁进行修复:

https://cgit.kde.org/kdelibs.git/commit/?id=2c3762feddf7e66cf6b64d9058f625a715694a00

使用KDE Frameworks 5的用户还可以自行利用以下补丁进行修复:

https://cgit.kde.org/kconfig.git/commit/?id=5d3e71b1d2ecd2cb2f910036e614ffdfc895aa22

 

参考链接:

https://www.bleepingcomputer.com/news/security/zero-day-bug-in-kde-4-5-executes-commands-by-opening-a-folder/




关注我们 ,一起寻求合作吧



本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/110558.html

Tags:
评论  (1)
快来写下你的想法吧!

安识科技

文章数:35 积分: 125

安识科技:专业的企业安全解决方案提供商。官网:https://www.duoyinsu.com/

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号