В LightDM KDE Greeter, развиваемой проектом KDE реализации экрана входа в систему,...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64250

• Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,u235, 12:15 , 14-Ноя-25
  • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,mos87, 12:17 , 14-Ноя-25
    • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,u235, 12:23 , 14-Ноя-25
  • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Аноним, 12:22 , 14-Ноя-25
    • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,u235, 12:27 , 14-Ноя-25
    • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Жироватт, 12:39 , 14-Ноя-25
      • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,НяшМяш, 12:43 , 14-Ноя-25
        • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Жироватт, 13:01 , 14-Ноя-25
    • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Аноним, 12:46 , 14-Ноя-25
  • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Аноним, 12:56 , 14-Ноя-25
• Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,mos87, 12:16 , 14-Ноя-25
• Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Жироватт, 12:18 , 14-Ноя-25
• Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,НяшМяш, 12:42 , 14-Ноя-25
• Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Аноним, 13:02 , 14-Ноя-25
• Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Аноним, 13:12 , 14-Ноя-25
  • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Аноним, 13:29 , 14-Ноя-25
• Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Аноним, 13:38 , 14-Ноя-25
  • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Ганс Грубер, 13:51 , 14-Ноя-25
• Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,eugener, 13:45 , 14-Ноя-25
  • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Аноним, 14:05 , 14-Ноя-25
  • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Аноним, 14:07 , 14-Ноя-25
• Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Rev, 14:42 , 14-Ноя-25
  • Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Америка, 14:55 , 14-Ноя-25
• Уязвимость в KDE LightDM Greeter, повышающая привилегии с по...,Аноним, 14:57 , 14-Ноя-25

Срочно переписать на Rust!

/thread

Ещё надо будет сказать "ахалай-махалай", а потом обязательно дунуть! Потому что, если не дунуть, чуда не произойдет!

Причем тут Rust? Уязвимость вызвана в багой в логике, а не в управлении памятью.

А баг в логике из-за того, что сишные деды устали вручную управлять памятью, вот и накосячили.

Это уже универсальный ответ такой.

За окошком дождь и град. Это Ричи виноват!
Кошка родила котят - это С'шник виноват.
Зайку бросила хозяйка - Кто виновен, угадай-ка!
Вот кончается доска У несчастного бычка,
Наша Таня громко плачет - указатель, не иначе!
Свет погас, упал забор, В серверной заглох мотор,
Файл нужный удалили Иль залез на сервер вор,
Поразваливались рейды, Не понравилось кино…
У любого катаклизма Объяснение одно…

Такую энергию да на пользу бы пустить - хоть те же сяшечные программы меинтейнить. Но кексперты только стишки умеют, да всем рассказывать как коредвадуо хватает на всё.

> Такую энергию да на пользу бы пустить

Можно. Более того я готов не только майнтейнить, но и заниматься аудитом и допиливать, с учётом проверок и арифметики указателей...в режиме полного рабочего дня, от 250к в месяц + полный соцпакет со стоматологией и разными плюшками, но чего нет-с, того нет-с. Не вывезет меня сообщество, у него на шее и так народу много, простым инженерам-разработчикам места там уже нет.

Да людям уже под кроватью раст мерещиться скоро начнёт

Твои мозги? Бро, против фгм - не поможет.

>для загрузки изображений из каталога пользователя

необходимые функции, которые никак нельзя вып***ть в какой-нить модуль.

ССЗБ крч.

И снова уязвимость уровня "а вот если бы "

Не знал, что он ещё жив (kdeшный модуль для lightdm). Кеды вон хотят sddm выкинуть и свой логин пишут, а тут кому-то lightdm понадобился.

Все фигня кроме startx

> Данная операция применялась для загрузки изображений из каталога пользователя, которые LightDM не мог прочитать напрямую во время отображения экрана входа в систему из-за прав доступа.

Применяем хак для обхода прав доступа чтобы потом обнаружить что кто-то другой может им воспользоваться.

Позор, разрабов посадить под гном.

Ребята, а зачем все эти доступы и прочие рюшечки в 2025 году? Рабочий стол должен открываться сразу после включения компьютера, это же экономит кучу времени и сил.

Ну так если автологин включить - он сразу и открывается

Кстати, LightDM так пока и не научился запускать иксы не под рутом - https://github.com/canonical/lightdm/issues/18

Хотя я так понимаю, с другими дисплейными менеджерами ситуация не лучше, запускать иксы под юзером умеет только GDM (и то если драйвер не nvidia) или ещё кто-то?

Sddm умеет, но не из коробки. В том числе на nvidia работает.

Подождите, это чего, gdm даже этого не умеет? В sddm вот достаточно пару строчек в конфиг добавить. И с nvidia прекрасно работает. Не удивлён.

Да не может быть! А мне говорили, что линукс такой безопасный...

У тебя баг в логике

> We reported these issues to KDE security on 2025-09-04 offering coordinated disclosure, but we initially had difficulties setting up the process with them. Upstream did not clearly express the desire to practice coordinated disclosure, no (preliminary) publication date could be set and no confirmation of the issues was received.

Open sauce - говорили они.
1000 глаз - говорили они.
Любой может прислать патч - говорили они.

По факту: "мы даже не горим желанием фиксить дырку дыры".

Тьфу ты.