Ankündigung

Einklappen
Keine Ankündigung bisher.

KDE-Konfiguration manipulierbar

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • KDE-Konfiguration manipulierbar

    Einem Bericht auf der Mailingliste Bugtraq zufolge sind bei manchen Linux-Distributionen globale KDE-Konfigurationsdateien mit falschen Zugriffsrechten versehen. Insbesondere die Datei kdeglobals ist bei SuSE 8.2 für jeden lokalen Benutzer beschreibbar. Damit kann ein Angreifer anderen KDE-Nutzern des Systems Konfigurationseinstellungen unterschieben und unter Umständen durch Autostart-Mechanismen sogar Programme mit dessen Rechten ausführen lassen.

    heise Security konnte das Problem bisher nur auf einem SuSE-8.2-System verifizieren. Dort waren die Dateien


    /etc/opt/kde3/share/config/kmailrc
    /etc/opt/kde3/share/config/kioslaverc
    /etc/opt/kde3/share/config/kdeglobals.SuSEconfig
    /etc/opt/kde3/share/config/kdeglobals


    für jederman beschreibbar. Globale Konfigurationsdateien mit Schreibrechten für alle Nutzer spürt das Kommando


    find /etc -type f -perm +2


    auf. Bisher ist uns kein Hersteller-Patch bekannt. Das Problem lässt sich jedoch durch den Befehl


    chmod og-w /etc/opt/kde3/share/config/kdeglobals


    für alle betroffenen Dateien einfach beheben.

    Update
    In einem soeben herausgegebenen Security-Advisory hat SuSE das Problem als noch offen eingestuft ("pending"). Der Fehler habe sich durch eine fehlende Synchronisierung während der Beta-Testphase eingeschlichen. Als Workaround empfiehlt SuSE die Dateirechte manuell in der Datei /etc/permissions.local folgendermaßen zu setzen:


    /etc/opt/kde3/share/config/kmailrc root.root 0644
    /etc/opt/kde3/share/config/kioslaverc root.root 0644
    /etc/opt/kde3/share/config/kdeglobals root.root 0644


    und diese Einstellungen mit


    chkstat -set /etc/permissions.local


    zu aktivieren. (ju/c't)
    beste Grüsse
    Trainer

    "Es regnete nicht, als Noah die Arche baute!"
Lädt...
X