DFN-CERT-2017-0280 KDE Plasma Desktop: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2017-0280 KDE Plasma Desktop: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

KDE Plasma Desktop

Betroffene Plattformen:

Red Hat Fedora 24
Red Hat Fedora 25

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle
ausnutzen, indem er einen Benutzer dazu verleitet, eine schädlich
präparierte Datei auf den Desktop herunterzuladen, um beliebigen
Programmcode zur Ausführung zu bringen.

Für Fedora 24 und 25 stehen Sicherheitsupdates in Form der Pakete
‘plasma-desktop-5.8.5-4.fc24’ und ‘plasma-desktop-5.8.5-4.fc25’ im Status
‘testing’ bereit, um diese Schwachstelle zu beheben.

Patch:

Fedora Security Update FEDORA-2017-13b5cb36c3 (Fedora 24,
plasma-desktop-5.8.5-4.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-13b5cb36c3

Patch:

Fedora Security Update FEDORA-2017-c1cd67adc1 (Fedora 25,
plasma-desktop-5.8.5-4.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-c1cd67adc1

PLASMA-DESKTOP-PHABRICATOR-D4534: Schwachstelle in KDE Plasma Desktop
ermöglicht Ausführen beliebigen Programmcodes

In KDE Plasma Desktop existiert eine Schwachstelle, da die Konfiguration für
den Prompt bei der Ausführung ausführbarer Dateien auf dem Desktop nicht
berücksichtigt wird bzw. für vorgeblich nicht-ausführbare Dateien keine
Anwendung findet. Dadurch können auch Dateien aus nicht vertrauenswürdigen
Quellen ohne Sicherheitsabfrage auf dem Desktop ausgeführt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0280/

Fedora Security Update FEDORA-2017-13b5cb36c3 (Fedora 24,
plasma-desktop-5.8.5-4.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-13b5cb36c3

Fedora Security Update FEDORA-2017-c1cd67adc1 (Fedora 25,
plasma-desktop-5.8.5-4.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c1cd67adc1

KDE Plasma-Desktop Phabricator Differential D4534
[Folder View] Don’t show script execution prompt on desktop:/:
https://phabricator.kde.org/D4534

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben