В развиваемом проектом KDE эмуляторе терминала Konsole выявлена уязвимость (CVE-2025-49091), позволяющая организовать выполнение кода в системе при открытии в браузере специально оформленной страницы...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63410
У меня больше вопрос в другом. Зачем это вообще в браузере? Кто и на... запускает telnet и ssh через браузер?
Ты лучше спроси зачем в браузере URL ghelp:// :-) https://opennet.ru/63035-gnome
Хороши, что KDE, что GNOME, что дистрибутивы, регистрирующие кучу MIME-типов.PS. В Firefox в about:preferences#general в поле поиска набери Applications, там полно всего, включая irc и apt. Как насчёт провернуть подобную атаку для установки левого пакета через apt?
Блин, а оно ведь сработало!В Ubuntu Firefox и Chrome загружают автоматом deb-пакет, а потом выводят запрос типа "Allow this site to open the apt link with AptURL?"
Скрипт поправил так:
function downloadAndRedirect() {
const anchor = document.createElement('a');
anchor.href = "data:;base64,содержимое deb-пакета в base64";
anchor.download = 'evil.deb';
document.body.appendChild(anchor);
anchor.click();
document.body.removeChild(anchor);
setTimeout(() => {
window.location.href = "apt:///proc/self/cwd/Downloads/evil.deb";
}, 1000);
}
Но оно же не устанавливает пакет автоматом при открытии ссылки, а показывает окно с инфой о пакете и опцией его установить? Так для этого достаточно просто http-ссылки на deb-пакет без фокусов с перенаправлением на "apt://", стандартное скачать и открыть файл.
Блин, я думал это фича о_О
> Ты лучше спроси зачем в браузере URL ghelp://зачем тебе в браузере URL ghelp://?
тор браузер посылает эти типы куда подальше. (можно пользоватся без тора если что)
Давным давно запускал, очень удобно когда у тебя счет железок на тысячи, или по вашему хранить ip надо в txt или exel.
> удобно когда у тебя счет железок на тысячиТак как раз же неудобно. Когда счёт идёт даже на десятки, уже неудобно вручную админить, а ты тут про тысячи заливаешь. Автоматизация — слыхал про такое? Пушишь в гит что нужно, а дальше оно само.
> или по вашему хранить ip надо в txt или exel.
IP надо хранить в DNS, и иметь схему которая позволяет зная где сервер скрафтить его доменное имя. Это если тебе надо куда-то конкретно попасть. А для IPAM надо специализированный софт использовать, да хоть тот же NetBox. Если только у тебя не один /23 или что-то такое же смешное. С таким действительно проще CSV или эксельку, котрые уже читать скриптом и генерить имена устройствам.
Это всё стандартные uri-хендлеры, которые могут открываться не только из браузера. Лучшее, что нармальный браузер может сделать (и делает, естественно) — это спросить, хочет ли пользователь запускать соответствующий хендлер. Будь это tel://, magnet:// или ssh:// — это дело пользователя, что он хочет открывать, а не браузераА ssh://, очевидно, является полезным обработчиком. Например, можно хотеть логиниться на сервер из менеджера паролей в один клик. И не важно, выступает ли этимм менеджером KeePassXC, какой-то вебапп на электроне или вообще корпоративная страничка в браузере с полным списком серверов и паролей. Пользователю нужно открыть ssh-доступ из приложения — он соглашется
Да зачем вообще нужны программы, пусть уже всё браузер делает. Браузера хватит всем...
Всё есть урл.
>пусть уже всё браузер делаетВам прямо сказали, что дело не в браузере, а вы опять бочку на браузер катите.
>Зачем это вообще в браузере?Типичный сторонник жирных браузеров.
В браузере ничего нет - есть гиперссылка, с протоколом. Браузер передаёт эту ссылку в систему, система самостоятельно находит обработчик.
>Кто и на... запускает telnet и ssh через браузер?Кдешнки. Не вечно же на гномеров бочку катить.
>Браузер передаёт эту ссылку в систему, система самостоятельно находит обработчик.Браузер недолжен делать НИЧЕГО. Не поддерживается схема браузером - игнор, и не надо ничего открывать. Юзер сам допрёт, что со схемой ssh:// делать.
Вам надо - вы и отключайте. Или поместите браузер в контейнер, благо это элементарно делается.
Ну вот на прошлом месте работы в cmdb урлики для подключения к линуксячьим нодам по ssh и вроде даже к виндовым по rdp (или там просто файлики? Не помню уже) автоматически генерились, всем нравилось. Нет, встречались любители руками в цонцоле колотить или там из файла "пороли.тхт" мышкой копировать - но это что-то постыдное было).
ну а что вы хотели от тимы, в которую вместо инженеров набрали эффективненьких самопиарщиков типа нэта грема
это не самопиар, а самообман - сообщество™ разработчиков кде по определению не может обеспечить качество на уровне корпоративного продуктаединственная надежда у поклонников проекта кде заключается в том, что Габен и ко. возьмут кодовую базу этой СРС под свой контроль, то есть под контроль программистов на зарплате
но зачем ждать, когда уже сейчас можно просто пользоваться GNOME? (:
Сейчас бы пользоваться поделием, которое считает юзера за идиота и не может решить, хочет оно пародировать макось или иось
пользуюсь с удовольствием) а пародировать они могут хоть TempleOS, лишь бы удобно было работать
Смешно такое читать на фоне того, как nvidia с капитализацией 3трлн $ не в состоянии нормально написать и протестировать драйвера и свой основной софт. Или MS c капиталиецией 2трлн $ постоянно сокращают топовых инженеров и в разработке софта делают упор на добавление фич, а стабильность уходит на второй план.
в копилку: скачайте и поставьте расширение в вбокс 7.1.10
Наркоманы на работе. Видимо теперь это норма.
Даже интересно, сколько из этой суммы они должны по вашему мнению потратить на реализацию хотелок 0 целых хрен десятых любителей nvidia лохматой версии на коре дуба от 0 хрен десятых любителей wayland'а на десктопе от аж целых 4х процентов пользователей? При том, что деньги они получают от крупных оем производителей (которым на эти хотелки тоже пофиг), а не от уаси-в-рассыпуху и вообще основной профит идёт не с этого рынка...
Это системная проблема. Можно было бы сказать, что невидевские карточки для виндузятников, если бы у них не горели разъёмы. А так, им всё равно - разъём сгорит или под вейлендом работать не будет.С виндой аналогично - качество винды падает, но виндузятников как всегда волнует только процент вейленда на десктопе линуксоидов.
С тем, что в индустрии есть системная проблема, связанная с нелинейным характером зависимости сложности системы от размера кодовой базы в общем-то никто и не спорит.Вопрос в том, сколько на решение частного случая проблемы 1,5% пользователей должна потратить компания, с учетом того, что эти 1,5% будут еще и "немножко вредить" своим штабле нонсенсом, ага.
>связанная с нелинейным характером зависимости сложности системы от размера кодовой базыБудь зависимость линейна, прогресс давным давно бы остановился, так как новые вещи были бы слишком сложными.
>Вопрос в том, сколько на решение частного случая проблемы 1,5% пользователей должна потратить компанияВы удивительны - вам жалко многомиллиардную компанию, что ей, бедной несчастной, оказывается надо деньги тратить, на качество товара. Удивительно, как это интел и амд справляются? Только вот чем больше пользователи прощают компании проблем, тем меньше она будет в качество своего товара вкладываться. Разъёмы горят(https://habr.com/ru/companies/x-com/articles/899528/) - ничего страшного. Драйвера окирпичивают карты(https://habr.com/ru/companies/x-com/articles/892620/) - нормально. Самое главное, что невидия ни цента на вейленд не потратила.
>>связанная с нелинейным характером зависимости сложности системы от размера кодовой базы
> Будь зависимость линейна, прогресс давным давно бы остановился, так как новые вещи
> были бы слишком сложными.Ну... "Если бы земля была круглой - мы бы с неё падали!" - тоже вывод, в общем-то. Даже я бы сказал, логичный.
>>Вопрос в том, сколько на решение частного случая проблемы 1,5% пользователей должна потратить компания
> Вы удивительны - вам жалко многомиллиардную компанию, что ей, бедной несчастной, оказывается
> надо деньги тратить, на качество товара. Удивительно, как это интел и
> амд справляются? Только вот чем больше пользователи прощают компании проблем, тем
> меньше она будет в качество своего товара вкладываться. Разъёмы горят(https://habr.com/ru/companies/x-com/articles/899528/)
> - ничего страшного. Драйвера окирпичивают карты(https://habr.com/ru/companies/x-com/articles/892620/)
> - нормально. Самое главное, что невидия ни цента на вейленд не
> потратила.Удивительная ситуация - люди вроде как умеют писать (Совершеннейшую ерунду, как правило. О том, как "хорошо" справляется с обеспечением качества Intel разве что в криокамере не прокричали), но совершенно не умеют читать. Нет, отдельные буквы и даже слова таки да - а вот с пониманием смысла прочитанного - проблемочки. Вас в третий раз спрашивают - СКОЛЬКО ПО ВАШЕМУ МНЕНИЮ Nvidia ДОЛЖНА ПОТРАТИТЬ НА РЕШЕНИЕ ПРОБЛЕМЫ? А вы вместо ответа на вопрос делаете изумительные выводы о мотивации собеседника.
> nvidia с капитализацией 3трлн $ не в состоянии нормально написать
> и протестировать драйвера и свой основной софтВот как раз потому что они не тратять время на всяких четырепроцентников - у них капитализация 3трлн$. Потому что нужно приавильно расставлять приоритеты.
> а стабильность уходит на второй план.
А им не нужна стабильность. Им нужно быть стабильнее чем конкуренты.
И пока они обгоняют дестопный линь с огромным отрывом)))
> постоянно сокращают топовых инженеровТоповых как раз не сокращают, инфа сотка. Под нож идёт балласт. Почему такая происходит очевидно. И нет, не потому что эффектиные менеджеры.
>единственная надежда у поклонников проекта кде заключается в том, что Габен и ко. возьмут кодовую базу этой СРС под свой контроль, то есть под контроль программистов на зарплатеНет, ненадо, такой "надежды" не питаю. Ненадо ничего выпиливать из интерфейса KDE. Меня, как пользователя KDE, больше устраивает то, как организована разработка у ний сейчас. Без погромистов на зарплате Габена.
> в Konsole запускался "/bin/bash /proc/self/cwd/Downloads/evil"Который непременно должен откуда-то лежать у пользователя, быть баш-скриптом и непременно должен реализовывать желаемое злоумышленником поведение по умолчанию (без параметров, ибо их туда передать нельзя)?
/proc/self/cwd/Downloads/evil ссылается на файл, который браузер автоматически без согласия пользователя может загрузить, в том и проблема, что по дефолту Firefox и Chrome без спроса грузят и во всплывающем уведомлении показывают, что загрузили.Раньше нужно было, чтобы пользователь хотя бы кликул на ссылку для начала загрузки, а сейчас из JavaScript достаточно вызвать метод click();
Спасибо, так действительно звучит намного опаснее
Справедливости ради, при открытии такой ссылки браузер предупреждает пользователя. Проверил сейчас на хромом и лисе.
>В Firefox и Chrome при попытке перехода по ссылке "telnet://" по умолчанию будет выведен запрос для подтверждения операции у пользователяИ где уязвимость?
В том месте, где браузером спрашивается подтверждение запуска telnet-обработчика, а Konsole вместо него запускает произвольный код
> удалить файл /usr/share/applications/ktelnetservice6.desktopЕсли у вас подкроватный сервер, который перезагружается раз в год, то не забудьте что-то вроде:
$ sudo update-desktop-database
чтобы перестроить кеш обработчиков MIME типов
Это конечно полный аллес. Нооо в сравнении с современными "привычками" для установки некоторого софта вроде:curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
Особой дичью не кажется.
Щито поделать, десу. Ну вот не хотят юзвери нормальный пакетный менеджер типа nix, хотят curl | sh
> Это конечно полный аллес. Нооо в сравнении с современными "привычками" для установки
> некоторого софта вроде:
> curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
> Особой дичью не кажется.Учитывая, что оно даже в дебияне
https://packages.debian.org/trixie/rustup
не слишком окаменелой версии - опять в дурных "привычках" виноваты другие?
> не слишком окаменелой версиитот дебиян еще не слишком релизнулся
> опять в дурных "привычках" виноваты другие?
ну таки на сайте раста так первым же делом написано, а они небезопасного не посоветуют и не сделают
>> не слишком окаменелой версии
> тот дебиян еще не слишком релизнулсяИ кто ж виноват, что дебиановцы такие слоупоки?
>> опять в дурных "привычках" виноваты другие?
> ну таки на сайте раста так первым же делом написано, а они небезопасного не посоветуют и не сделаютЭ-э ... и что они должны там предлагать, если юзер, вместо скачивания из штатной репы, пришел туда? Готовый deb/rpm/еще пяток форматов, потому что готовый деб из "левой" репы 100500 секурнее? Или вызваться мейнтенить пяток реп самых популярных дистров?
Спецом для таких там, кстати, написано:
That page describes installation via rustup, a tool that manages multiple Rust toolchains in a consistent way across all platforms Rust supports. Why might one not want to install using those instructions?Offline installation. rustup downloads components from the internet on demand. If you need to install Rust without access to the internet, rustup is not suitable.
Preference for the system package manager. On Linux in particular, but also on macOS with Homebrew, MacPorts or pkgsrc, and Windows with Chocolatey or Scoop, developers sometimes prefer to install Rust with their platform’s package manager.
Preference against curl | sh. On Unix, we usually install rustup by running a shell script via curl. Some have concerns about the security of this arrangement and would prefer to download and run the installer themselves.
Validating signatures. Although rustup performs its downloads over HTTPS, the only way to verify the signatures of Rust installers today is to do so manually with the standalone installers.
Оно есть только в нерелизнувшемся trixie. В стабильных релизах - нет.
И ты сейчас нам конечно же расскажешь, почему это плохо и опасно, а sudo apt install -y blah-blah-blah — хорошо и безопасно, да?
С чексуммами, патчами и конкретной версией, против стягивания хер пойми чего и откуда из интернетов с безоглядным запуском в шелл.
Я рекомендую всё же выходить из криокамеры, для того, чтобы иметь хотя бы какое-то представление о реальности. Заходим, например, на https://code.visualstudio.com/docs/setup/linux#_install-vs-c...И там нас встречает sudo apt install ./<file>.deb
Никакими ни контрольными суммами, ни версиями, ничем даже и не пахнет. Это уже потом, после установки, деб пакет пропишет нормальный репозиторий, а сейчас, он ничем принципиально не отличается от curl | sh.
Ты хоть распакуй его, да посмотри.
> И ты сейчас нам конечно же расскажешь, почему это плохо и опасно, а sudo apt install -y blah-blah-blah — хорошо и безопасно, да?Если тебе об этом надо говорить - тебе бесполезно об этом говорить.
У меня вопросы к автору подобных статей. По какой причине в ссылках вот в этом предложении:
"Проследить за устранением уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Arch, FreeBSD."
по ссылкам на Fedora, Arch и FreeBSD какая-то муть?! Если с Debian, Ubuntu и остальными всё понятно, там хоть по теме ссылки порой прямые на статус работы с уязвимостью, то в той же Fedora общая ссылка ведущая на портянку списка обновлений и ещё поищи там конкретное сообщение по теме и не факт что найдёшь?! И такое безалаберное отношение к оформлению подобной новости я вижу не в первый раз. Вы хотя бы проверяете ссылки, которые предоставляете в тексте своей новости? По Fedora такая картина уже довольно давно, просто будто вы занимаетесь бездумной копипастой таких новостей с зарубежных сайтов не удосужевшись проверить что по ссылкам, вот зачем так делать?
По Арчу, не лучше картина кстати, там просто ссылка на пакет, никакого статус работы над уязвимостью в той ссылке нет, от слова СОВСЕМ!Доколе такое безобразие будет продолжаться?!!11
В Fedora нет трекера исправления уязвимостей по CVE-идентификатору. Есть общий багтрекер со своими внутренними идентификаторами, но бывает в момент написания новости записей там ещё нет, поэтому для Fedora оптимальней давать ссылку на список для отслеживания появления новой версии пакета. В тексте новости до перечисления дистрибутивов всегда указывается в какую версию добавлено исправление. В случае рассматриваемой уязвимости, в момент раскрытия информации о наличии уязвимости в Fedora уже был пакет konsole-25.04.2 и в багтрекере для него была только запись о новой сборке без упоминания исправления уязвимости - https://koji.fedoraproject.org/koji/buildinfo?buildID=2727830В Arch Linux трекер по CVE есть, но записи об уязвимостях там часто появляются с опозданием, уже после выпуска новой версии программы в пакете. Поэтому может сложиться впечатление, что уязвимость ещё не устранена, хотя она уже исправлена.
Во FreeBSD информация в портах обновляется с запозданием и самое оптимальное отслеживать исправления через https://www.vuxml.org/freebsd/Это лучше, чем просто писать, что на момент написания новости уязвимость ещё не исправлена и, соответстенно, конкректную ссылку дать невозможно.
> Во FreeBSD информация в портах обновляется с запозданием и самое оптимальное отслеживать
> исправления через https://www.vuxml.org/freebsd/Учитывая, что для фри придется сначала пропатчить КДЕ^W procfs (вместо /proc/self там /proc/curproc, а /proc/*/cwd нет от слова совсем), то отслеживать можно будет долго ...
>вместо /proc/self там /proc/curprocФряха защищённее линукска на время произнесения фразы "ух ты, фряха!".
>а /proc/*/cwd нет от слова совсемА что там есть?
>>вместо /proc/self там /proc/curproc
> Фряха защищённее линукска на время произнесения фразы "ух ты, фряха!".Конкретна эта уязвимость -- не затрагивает фрю не только "на время произнесения". Причем, вне зависимости от причин твоего припекания ...
>>а /proc/*/cwd нет от слова совсем
> А что там есть?https://man.freebsd.org/cgi/man.cgi?query=procfs
эта прокфс еще и не смонтирована по-умолчаниювпрочем проблемы в целом это не отменяет
процфс тут нужна, только? чтобы не гадать путь до хомяка. Если мы по каким либо причинам знаем логин юзера (или предполагаем его) то /home/$USER/Downloads/ даст 90% попадание, что в линуксе, что во фре. процфс конечно надёжнее. но при отсутствии гербовой можно писать и на обычной бумаге. тем более что никто же не запрещает сделать N или даже M попыток. В этом плане раньше в винде было хорошо, ни один иностранный хацкер не выговорит "Загрузки" ;) Но теперь там c:\users\$USER\Downloads во всех языках.
> В Fedora нет трекера исправления уязвимостей по CVE-идентификатору. Есть общий багтрекер
> со своими внутренними идентификаторами, но бывает в момент написания новости записей
> там ещё нет, поэтому для Fedora оптимальней давать ссылку на список
> для отслеживания появления новой версии пакета. В тексте новости до перечисления
> дистрибутивов всегда указывается в какую версию добавлено исправление. В случае
> рассматриваемой уязвимости, в момент раскрытия информации о наличии уязвимости в Fedora
> уже был пакет konsole-25.04.2 и в багтрекере для него была только
> запись о новой сборке без упоминания исправления уязвимости - https://koji.fedoraproject.org/koji/buildinfo?buildID=2727830Спасибо за разъяснения! Но всё же, почему не дать пояснение в новости, что вот ссылка на пакет Fedora в котором уже уязвимость устранена? Если ещё не устранена, то давать прямую ссылку на уязвимую версию, это на мой взгляд лучше, чем просто посылать на общую страницу.
Вот хотя бы даже и эту вашу ссылку можно было оставить с пояснениями, которые вы дали.> В Arch Linux трекер по CVE есть, но записи об уязвимостях там
> часто появляются с опозданием, уже после выпуска новой версии программы в
> пакете. Поэтому может сложиться впечатление, что уязвимость ещё не устранена, хотя
> она уже исправлена.Так всё правильно, CVE текер есть, но ссылка зачем-то на пакет, вопрос зачем, чтобы что-то запостить? Можно было опять же сделать такую ссылку отдельно от того предложения с пояснением ситуации.
Понимаете ли, вопрос не в том, насколько актуальна информация в новости на данный момент в каком-то дистрибутиве, вопрос в том, что автор статьи вводит в заблуждение фразой: "Проследить за устранением уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Arch, FreeBSD.", а часть ссылок при этом не относится к утверждению проследить за устраниениея уязвимости в дистрибутивах можно на слудущих страницах, от слова НИКАК, т.е. ожидание и реальность расходятся. Запросто можно было не вводить в заблуждение, а оставить только те ссылки в предложении, которые явно видут на информацию о статусе работы с уязвимыми пакетами, а остальные ссылки привести в более приближённом виде отдельно, с пояснениями почему они в таком виде, а не сгружать в кучу с остальными добротными ссылками, которые по факту и указывают на то, о чём утверждается в предложении.
> Во FreeBSD информация в портах обновляется с запозданием и самое оптимальное отслеживать
> исправления через https://www.vuxml.org/freebsd/
> Это лучше, чем просто писать, что на момент написания новости уязвимость ещё
> не исправлена и, соответстенно, конкректную ссылку дать невозможно.Нет, я считаю, что не лучше, потому что в таком виде: "Проследить за устранением уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Arch, FreeBSD." - это просто введение в заблуждение, т.к. по ссылкам не то что заявлено в предложении.
Это как если бы вы пошли в магазин, купили там пакет набора конфет ассорти в непрозрачной коробке, понадеялись на описание, что там конфеты от 6ти разных фабрик, шоколадные все с разной начинкой. А в итоге открыли, а там три вида конфет нормальные, как заявлено, а три остальные какая с другой начинкой, а какая вообще пустая оболочка, потому что формирующий пакет упаковщик не положил их, т.к. поставщик не успел, но на упаковке написано, что вот в ней лежат шесть разных шоколадных конфет от шести разных фабрик с разными вкусными начинками. Надеюсь аналогия понятна?! ))
> Спасибо за разъяснения! Но всё же, почему не дать пояснение в новости, что вот ссылка на пакет Fedora в котором уже уязвимость устранена?Ok, по возможности буду ставить ссылку на багтрекер или сам пакет, если в трекере информация ещё не заведена.
> Если ещё не устранена, то давать прямую ссылку на уязвимую версию
В этом случае разработчики могут через 5 минут выпустить обновление, а в новости будет про то, что уязвимость ещё не исправлена. Информация меняется очень бысто, на момент написания новости одна ситуация, а на момент её прочтения посетителями может быть уже другой. Тогда уж ставить ссыку на состояние пакета и предлагать проверить версию. Но здесь тоже есть нюансы, по хорошему нужна информация с экспертизой от самого дистрибутива, так как по номеру версии уязвимость может казаться что есть, а по факту в пакете может быть какой-то свой патч, изменение или особые настройки, при которых уязвимость не проявляется.
> Так всё правильно, CVE текер есть, но ссылка зачем-то на пакет, вопрос зачем, чтобы что-то запостить?В Arch стал ставить ссылки на пакет по просбе посетителей, так как CVE-страница бывает не отражает фактическое состояние, то по номеру версии проще понять, вышло обновление или нет.
> Нет, я считаю, что не лучше, потому что в таком виде: "Проследить за устранением
> уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Arch, FreeBSD." -
> это просто введение в заблуждение, т.к. по ссылкам не то что заявлено в предложении.Ну почему же, проверить номер версии в пакете, зная в какой версии уязвимость устранена, вполне себе "Проследить за устранением уязвимости". Могу заменить на "Проверить состояние версии или подготовки исправления..." для большей точности.
>[оверквотинг удален]
>> Если ещё не устранена, то давать прямую ссылку на уязвимую версию
> В этом случае разработчики могут через 5 минут выпустить обновление, а в
> новости будет про то, что уязвимость ещё не исправлена. Информация меняется
> очень бысто, на момент написания новости одна ситуация, а на момент
> её прочтения посетителями может быть уже другой. Тогда уж ставить ссыку
> на состояние пакета и предлагать проверить версию. Но здесь тоже есть
> нюансы, по хорошему нужна информация с экспертизой от самого дистрибутива, так
> как по номеру версии уязвимость может казаться что есть, а
> по факту в пакете может быть какой-то свой патч, изменение или
> особые настройки, при которых уязвимость не проявляется.Да, а ещё новость могут прочитать через неделю или через месяц ;)
>> Так всё правильно, CVE текер есть, но ссылка зачем-то на пакет, вопрос зачем, чтобы что-то запостить?
> В Arch стал ставить ссылки на пакет по просбе посетителей, так как
> CVE-страница бывает не отражает фактическое состояние, то по номеру версии проще
> понять, вышло обновление или нет.Ну, это уже бардак Арча, автору новостей не предлагается чинить этот бардак, предлагалось просто не засовывать сомнительных ссылок в такое однозначно сформулированное предложение ;)
>> Нет, я считаю, что не лучше, потому что в таком виде: "Проследить за устранением
>> уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Arch, FreeBSD." -
>> это просто введение в заблуждение, т.к. по ссылкам не то что заявлено в предложении.
> Ну почему же, проверить номер версии в пакете, зная в какой версии
> уязвимость устранена, вполне себе "Проследить за устранением уязвимости". Могу заменить
> на "Проверить состояние версии или подготовки исправления..." для большей точности.Можно, но тогда получается самостоятельный какой-то свой ресёрч какой-то уже и это не одно и то же что сформулированно в предложении новости, будто сходи по ссылке и увидишь что как, что отчасти так и есть, т.к. те же Debian, Ubuntu и прочие, имеют явные страницы и они там по делу, а вот Fedora и Arch лучше бы просто вынести за скобки того предложения, как тех, кто практикует отсутствие порядка и полагается на творческий беспорядок.
Автору не предлагается решать проблемы этих дистров по оформлению информации по CVE, предложение касается того, что по ссылке на Fedora, Arch и прочие "отлынивающие" не должны стоять в том предложении в одном ряду с Debian, Ubuntu и остальными, с ссылками которых всё в порядке и они соответствуют заявленному. Оформлять можно хоть разными предложениями и в разных абзацах, даже с упоминанием, что вот эти редиски не оформляют инфомацию по CVE как вот эти сознательные граждане, поэтому если кому интересно, то можете поиграться с ними в прятки на их ресурсах, авось повезёт! xD
Может, у этих дистрибутивов нет трекеров CVE и единственный способ отслеживать исправления — смотреть список изменений конкретных пакетов?> По Арчу, не лучше картина кстати, там просто ссылка на пакет, никакого статус работы над уязвимостью в той ссылке нет
По той ссылке есть кнопочка "View Changes", откуда и можно узнать о факте исправления
Вот вам все прелести Яваскрипта. Вы рады?
90-е закончились, яваскрипт победил. А ты все держишь оборону ?
облепленный сзади питонами
>А ты все держишь оборону ?Да. И очень эффективно с помощью NoScript, uMatrix, etc.
Может ему VB скрипт больше нравится))
При чём тут яваскрипт? Какое отношение консоль имеет к браузеру?
Очень похоже на бэкдор.Т.к такая же уязвимость ещё 10 лет назад всплывала,так же устраняли .Неужели все комментарии с патчами потеряли и опять на те же грабли наступили- очень сомнительно.
Вполне возможно, терять информацию это тренд современности-)
попробовал в фаерфоксе - вылез диалог сохранения файла. если нажать save то сохранится файл evil. Версия Konsole 25.04.2
Верните в настройках опцию "Always ask you where to save files" в значение по умолчанию и перестанет спрашивать.
> попробовал в фаерфоксе - вылез диалог сохранения файла. если нажать save то
> сохранится файл evil. Версия Konsole 25.04.2Так там же в статье явно написано, что "Эксплуатации уязвимостей сопутствует то, что в конфигурации по умолчанию современные версии Firefox и Chrome автоматически сохраняют инициированные для загрузки файлы" т.е. русским по бежевому написано, что в КОНФИГУРАЦИИ ПО УМОЛЧАНИЮ, а по умолчанию они не спрашивают. Если у вас какие-то свои настройки, то вы - молодец и хороший мальчик, гордитесь собой, возьмите с полки пирожок!.. Хотя нет, не молодец, т.к. с внимательностью у вас беда, так что верните пирожок обратно!
Этот бэкдор в какой версии появился? Кто автор комита?
Не удивлюсь, если эта уязвимость каждый мажорный релиз появляется и чинится, а то и не раз.
git blame изобретён
Это какой-то позор, господа. Баги уровня 80ых в 2025. Трудно поверить.
Просто кодеры не понимаю что все остальные не обязательно занимаются Компьютерами.
Когда они это поймут они будут делать для людей.
> Когда они это поймут они будут делать для людей.Не поймут никогда. Пока менеджер не объяснит. Таков путь.
КДЕ-шные мудрённые поделки, например в LXTerminal такая шляпа невозможна by design.
Да, а еще в command.com
> КДЕ-шные мудрённые поделки, например в LXTerminal такая шляпа невозможна by design.Чем более это сложное, тем прощще это ломается.
Тем больше там ошибок. Глюков.
Терминал Лхде проще чем кедовая консолька?
Конечно проще.
Наверное прощще, примерно как xfce прощще Kde, или как Lxqt, lxde, прощще Kde.
Думаю так.
Или как просмотрщик изображений прощще фотошоп.
Да там ещё много чего невозможно: и то невозможно, и это невозможно.
Я не специалист по телнет и ssh. Но нет ли случайно такой возможности, чтобы сформировать команду, мол подключайся к локалхосту без авторизации и запускай эти команды?
**Konsole ловит полный шмон: базар про слив через телнет**Терминал Konsole от KDE **подставился по полной** – вылезла дыра (CVE-2025-49091), которая **позволяет ломать систему через браузер.** Если ты открываешь зловредную страницу – **тебе на комп могут накатить произвольный код.**
**Суть развода:**
1. В Konsole по дефолту **висит сервис KTelnetService**, который ловит ссылки типа `telnet://`, `rlogin://`, `ssh://`.
2. Если в системе **нет утилит** (telnet/rlogin/ssh), Konsole вместо них **запускает баш!**
3. **Подмена капец:** Открыл в браузере `telnet:///proc/self/cwd/Downloads/evil` → Konsole **вмазывает `/bin/bash /.../evil`** (и твой скрипт-вирус понеслась!).**Почему это огонь для хакеров?**
- **Браузеры (Chrome/Firefox)** автоматом качают файлы в `~/Downloads` **без спроса!**
- Путь `/proc/self/cwd/Downloads/` – **это прямая дорога к твоим загрузкам.** Даже если юзер не знает имя папки!**Пример атаки:**
Хакер впаривает тебе JS-код, который:
- **Качает зловред "evil"** в твои загрузки (через data:base64)
- **Дергает ссылку `telnet://.../evil`** → Konsole **хуярит баш с этим скриптом!**
Результат: на твоем компе **выполнится любая хрень** (хоть `rm -rf /`, хоть майнер запустит).**Фейспалм детектед:**
- В **Firefox** хоть спрашивает разрешения (но лохи жмут "ОК"),
- В **Chrome** вообще тихий ужас – сам дописывает `.txt` к файлам (но если переименовать в "evil.txt" – тоже полетит).**Как не словить пиз*ец?**
1. **Апдейт до Konsole 25.04.2** – там дыру залатали.
2. **Поставить telnet/rlogin/ssh** – тогда Konsole не будет запускать баш.
3. **Вырубить авто-загрузку в браузере:**
- Firefox: `Настройки › Общие › Файлы` → **"Всегда спрашивать"**
- Chrome: адресная строка → `chrome://settings/downloads` → **"Спрашивать место сохранения"****Дистрибы, где уже фиксили:**
Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Arch, FreeBSD – **следи за апдейтами!****Короче:**
**Konsole подставил базар** – если не обновился, **тебя могут развести как лоха.** Хакеры через браузер и телнет-ссылку **запустят твой же скачанный вирус.** Не тупи – **залатай систему или поставь телнет**, пока не накрыло медным тазом.
Это уязвимость в веб-браузере тоже.
Вместо вопроса: "Allow this site to open the telnet link with KTelnetService?"
Веб-браузеры должны явно отображать команду, которую запускают: "Запускаю /usr/bin/konsole --noclose -e telnet /proc/self/cwd/Downloads/evil, вы согласны?"
Ещё один воен с браузерами.
>Запускаю /usr/bin/konsole --noclose -e telnet /proc/self/cwd/Downloads/evil, вы согласны?Вам же в новости сказано, что команду запускает konsole а не браузер. Браузер лишь передаёт аргумент konsole, и ему совершенно не известно, как этот konsole этот код перекрутит. И будет там что-то вроде
konsole 'telnet:///proc/self/cwd/Downloads/evil'
Откуда браузеру знать, во что раскроется эта команда?
т.е. мочить надо бинарник konsole...
> Браузер лишь передаёт аргумент konsole, и ему совершенно не известно
> ...
> Откуда браузеру знать, во что раскроется эта команда?Ты реально думаешь, что браузер живой? надеюсь не под веществами пишешь.
Ты сам ответил себе же:
> И будет там что-то вроде
> konsole 'telnet:///proc/self/cwd/Downloads/evil'это и есть мой посыл, вместо сообщения "Я сейчас открою неведомую шнягу, хотите?", браузеры должны писать "Я сейчас передам вот такие параметры командной строки ... хотите?".
>это и есть мой посылКакой посыл? Проблема не в открытии сторонних программ, проблема в обработке этими программами своих аргументов.
>Я сейчас открою неведомую шнягу, хотите?Konsole - неведомая программа?
>Ты реально думаешь, что браузер живой?Даже неживой браузер должен вывести какую-то строку. Нет абсолютно никакого смысла задалбывать пользователя сообщениями. У них и так уже банерная слепота развивается.
>браузеры должны писать "Я сейчас передам вот такие параметры командной строкиА вы уверены, что konsole запускается напрямую браузером? Скорее всего, между браузером и konsole есть как минимум одна абстракция.
не важно что там есть, читаем код, который приводит к сообщению "Allow this site to open the telnet link with KTelnetService?":
```
setTimeout(() => {
window.location.href = "telnet:///proc/self/cwd/Downloads/evil";
}, 1000);
```так почему в сообщении браузер нам пишет отсебятину, когда должен писать про "proc/self/cwd/Downloads/evil". Это уязвимость, т.к. браузер пишет отсебятину.
В данном случае не важно, что в системе или в настройках браузера ассоциировано с telnet протоколом, браузер во всех случаях должен отображать явно то, что собирается запустить, а не то, что по мнениюю кого-то из разработчиков веб-браузера уместно. Эти разработчики неправы.
Сомнительную функцию можно отключить в файрфоксе через настройку
network.protocol-handler.external-default = false
Ещё одно подтвержение того, что кедо поклонникам надо юзать дубовое и безбэкдорное LXQt, ведь там нет всяких свистопрделок, а значит и CVE меньше в десятки раз!
А поклонники у вас советов просят?
совет поросят эти поклонники
touch /usr/local/bin/telnet
touch /usr/local/bin/rlogin
"Always ask you where to save files" это одна из первых настроек, что я делаю в любом браузере.
bash да, отличная замена для ssh.
В каких головах такие технические решения рождаются?
Просто чтобы не заморачиваться с сообщением об ошибке пользователю что ли?
Не работает, Konsole 24.08.1. Упорно вылетает окошко portal "Choose an application to open 'rlogin'", в /tmp ничего нового не появляется..
У меня браузер сто лет уже по умолчанию спрашивает, что делать с файлом. Я ещё тогда подумал "Зачем? И так понятно, что хочу скачать.". Теперь понял зачем.
Но вообще бывало, что сайты без спросу могут пытаться начать что-то скачивать. Поэтому форма с запросом действия - этакий блокировщик.Ещё я создаю в Firefox второй пустой профиль, только чтобы при запуска Firefox всегда выводил окно с выбором профиля, а не открывал сайт по запросу какой-то программы.