Un USB puede ejecutar código sin permiso desde KDE

BocaDePez 13 febrero 2018 19:16

⋮

diarioti.com/sistemas-linux-pueden-ser-i…d-usb/106787

Parece que el bug afecta a KDE <5.12 y puede ejecutar comandos al insertar una memoria USB con el nombre “ o $ () y el codigo encerrado en ellos.

¿Alguien lo prueba? >.<

BocaDePez 13 febrero 2018 20:00

⋮

El advisory: kde.org/info/security/advisory-20180208-2.txt

BocaDePez 13 febrero 2018 20:30

⋮

Mmmhhh... ¿en qué momento pasan la etiqueta del volumen a una llamada a exec()+fork()? XD

✖

BocaDePez 13 febrero 2018 20:53

⋮

Pues... en concreto en la línea 163

(link roto)

vukits 13 febrero 2018 20:41

⋮

gensanta

mceds 14 febrero 2018 05:41

⋮

Lo probaría si pudiera, pero no hay cojones a modificar el volumen de un pendrive en VFAT. No me deja ni gparted ni tune2fs.

De todas formas, complementando la información, las versiones afectadas son:

Plasma 5.12 anteriores a 5.12.0 y
plasma 5.8 anteriores a 5.8.9.

✖

sjlopezb 17 febrero 2018 19:55

⋮

Bajo root se puede, no bajo usuario. No es por nada, es que no deja.

✖

mceds 17 febrero 2018 19:58

⋮

Ni gparted ni tune2fs se pueden ejecutar como usuario corriente.

✖

sjlopezb 17 febrero 2018 19:58

⋮

Es que no puedes hacerlo bajo usuario normal, yo lo hago bajo root, para permitir a usuario normal, se ha de usarse el sudoers.

✖

mceds 17 febrero 2018 20:03

⋮

✖

sjlopezb 17 febrero 2018 20:04

⋮

✖

mceds 17 febrero 2018 20:10

⋮

✖

sjlopezb 17 febrero 2018 20:12

⋮

✖

mceds 17 febrero 2018 20:17

⋮

✖

sjlopezb 17 febrero 2018 20:25

⋮

ToooWuu 17 febrero 2018 20:26

⋮

$ man fatlabel

✖

mceds 17 febrero 2018 20:27

⋮

Coño, ¡pero probadlo vosotros! 😅

✖

ToooWuu 17 febrero 2018 20:28

⋮

hombre, que he contestado al mensaje donde dices "Lo probaría si pudiera ...."

✖

mceds 17 febrero 2018 20:43

⋮