KDE Frameworks远程命令执行(CVE-2019-14744)漏洞

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/08/13 14:08:04 540
文章来源:https://www.secpulse.com/archives/110558.html

DE Framework远程命令执行漏洞

漏洞编号:(CVE-2019-14744)

漏洞描述近日,有安全人员在Twitter上披露了一个关于KDE Frameworks的命令执行漏洞。漏洞危害等级严重。

该漏洞源于KDesktopfile类在处理.desktop、.directory文件或配置文件时存在缺陷,当实例化.desktop或.directory文件时,它通过KConfigGroup::readEntry使用KConfigPrivate::expandString() 来不安全地标识环境变量和shell扩展(使用特制的.desktop文件,只需在文件管理器中下载和查看文件,或通过将其链接拖放到文档或桌面中,将其解压之后打开文件夹就能够导致恶意文件中的代码执行,无需用户的交互操作(例如执行文件)

影响版本KDE Frameworks<=5.60.0

漏洞等级

高危

漏洞危害

此漏洞由KDesktopFile类处理.desktop或.directory文件的方式引起。如果受害者下载了恶意构造的.desktop或.directory文件,恶意文件中注入的bash代码就会被执行。

漏洞演示创建一份包含 .directory 文件的子文件夹的 ZIP 文件。这个目录文件的 Icon 字段中包含一个从服务器中下载 test.sh 脚本的命令并执行以启动 Kcalc。

beepress-image-110558-1565601390.jpg

用户下载test.zip 文件后解压并打开,KDE 就会读取 .directory 文件并执行分配给 Icon 字段的命令。

beepress-image-110558-1565601391.gif漏洞修复

使用kedlibs的用户可以利用以下补丁进行修复:

https://cgit.kde.org/kdelibs.git/commit/?id=2c3762feddf7e66cf6b64d9058f625a715694a00

使用KDE Frameworks 5的用户还可以自行利用以下补丁进行修复:

https://cgit.kde.org/kconfig.git/commit/?id=5d3e71b1d2ecd2cb2f910036e614ffdfc895aa22

参考链接:

https://www.bleepingcomputer.com/news/security/zero-day-bug-in-kde-4-5-executes-commands-by-opening-a-folder/

推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室