LINUX.ORG.RU

Установка глобальных тем KDE может удалить личные данные

 ,

Установка глобальных тем KDE может удалить личные данные

0

2

Важное предупреждение: установка глобальных тем в KDE может привести к удалению всех личных данных. Пользователи сообщают о критических ошибках и полной потере данных на своих устройствах.

В сообществе пользователей Linux произошёл инцидент, который вызвал широкий резонанс и обсуждение вопросов безопасности. Речь идёт о ситуации, когда установка глобальной темы привела к удалению всех пользовательских данных, включая данные с монтированных дисков. Этот случай стал предметом обсуждения на форуме openSUSE в Reddit и выявил потенциальную уязвимость в системе безопасности дистрибутивов на базе Linux.

Технический момент

Как указывают пользователи Reddit, причиной стала определённая глобальная тема, которая в процессе установки исполняла команду rm -rf, автоматически удаляя все данные в папках, доступных для пользователя. Это подчёркивает риск, связанный с возможностью выполнения скриптов при установке тем и расширений, которые пользователи могут скачивать из неофициальных источников.

Реакция разработчиков KDE

После того как информация о проблеме была доведена до разработчиков KDE, были предприняты немедленные действия. Спорная тема была удалена, и команда разработчиков начала обсуждение мер, которые могли бы предотвратить подобные инциденты в будущем. Один из разработчиков отметил, что ситуация действительно ужасающая и требует серьёзного рассмотрения вопросов безопасности.

>>> Подробности

★★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 1)

Для работы - Trinity DE, сколько можно объяснять.

Для хипстерских финтиклюшек из плазмы, глючащих по собственному желанию - KDE v5-6+

sanyo1234
()

Как это вообще получилось? Кто додумался сделать исполняемые скрипты в темах, и зачем? Уму непостижимо. И это на фоне откровенно провального релиза KDE6.

liksys ★★★★
()

причиной стала определённая глобальная тема, которая в процессе установки исполняла команду rm -rf

Бгг… Это просто царский баг какой-то, джекпот… )

p.s. Спасибо, что предупредили. Если раньше я вообще не собирался ставить кеды, то теперь вообще-вообще не собираюсь…

hikari
()
Ответ на: комментарий от sanyo1234

целый день танцую с бубном, ну не работает у меня исправно Wayland на Debian/Devuan (под AMD) , проверьте кто-нить, мб пофиксят если не я один столкнулся с данной проблемой P.S. с кедами при использовании вяленного на экране становится 2-3 ФПС, с использованием GNOME не открывается браузер, либо вовсе появляется чёрный экран в меню ввода пароля (после правильного пароля) данные проблемы встретил только при использовании Wayland

avas1
()

Спорная тема была удалена

Мне стало интересно, почему в данной ситуации использован термин «спорная»?

imul ★★★★★
()

эх, может когда-нибудь в будущем кто-то хорошенько покурит матчасть и напишет нормальный DE на GTK

avas1
()

Бгг, с начала века ничего не поменялось.

Clayman ★★
()
Ответ на: комментарий от Smacker

А никогда не была. Даже во времена двойки это былинный глюкодром. Спасибо тем, кто придумал писать ДЕ на с++.

Clayman ★★
()
Ответ на: комментарий от Clayman

Спасибо тем, кто придумал писать ДЕ на с++

Ну я не думаю, что этот баг имеет место быть связан с С++. Да и вообще. Дело не в языке. А в том, кто пишет на этом языке. Тут-же скорее архитектурная дыра в безопасности.

DrRulez ★★★★
() автор топика

А технические подробности есть?

Неужели как всегда это дидовское говнокодерство под названием «вонючие лапшевидные Bash/Shell портянки» в ногу стрельнули?

Который раз уже из-за архитектурных косяков Shell/Bash страдают люди. Случай с NVidia, случай с Yandex.Disk, ещё что-то было.

Воистину, Поттерингу нужно было начать с написания адекватного шелла, а не системы инициализации.

EXL ★★★★★
()

Ради интереса скачал глобальную тему для KDE6, в ней есть конфигурационный js, отвечающий за расположение элементов интерфейса. Он вполне мог содержать опечатку или злонамеренную директиву.

dmitry237 ★★★★
()
Ответ на: комментарий от liksys

И это на фоне откровенно провального релиза KDE6.

Поясните в чём он провальный? Он только вышел. Будет доступен на обычных системах в лучшем случае с релизом весенним в тех же Ubuntu и Fedora. Сейчас есть только у тех, кто использует KDE Neon или тот, кто позаботился об установке самой свежей версии. Пока не вижу в новой версии ничего сверхестественного. Да, немного придётся внешний вид, наверно, переделать вручную. Перешли на свежую версию Qt. По мне так обычный релиз. Когда прилетит, буду пользоваться. Пока только в виртуальной машине пробовал. Ничего такого особо плохого не заметил.

Feonis ★★★
()
Ответ на: комментарий от liksys

Кто додумался сделать исполняемые скрипты в темах, и зачем?

Скажи спасибо, что эти скрипты пока ещё запускаются не в «супербезопасной» песочнице ядра.

sanyo1234
()

Например можно не выполнять никаких скриптов при активации темы оформления? Да не...

kirill_rrr ★★★★★
()

ну это же модное кде 6 с поддержкой вейланда и написанное на всем модном что вообще есть молодыми прогрессивными небинарными трансгендерными разработчиками

bernd ★★★★★
()
Ответ на: комментарий от liksys

Кто додумался сделать исполняемые скрипты в темах, и зачем?

Разработчики KDE, очевидно же!

Уму непостижимо.

В KDE все так через одно место.

Reset ★★★★★
()
Ответ на: комментарий от Feonis

Провальный тем, что откровенно неотлаженный и глючный:

После выхода Plasma 6.0 количество отчетов об ошибках значительно увеличилось. В обычные дни KDE получает от 30 до 50 отчетов, однако на текущий момент эта цифра достигает 150-200 новых отчетов в день.

И мой личный опыт. Продублирую свой камент из соответствующей темы:

После обновления у меня пропала иконка телеграма в трее - пустое место есть, кликабельно, но самой картинки нет. И всплыл просто феерический баг с блокировкой экрана: после того, как экран блокируется и тухнет по таймауту, если подвигать мышкой или потыкать в клавиатуру, экран просыпается, а потом будет тухнуть при каждом эвенте. Уму непостижимо, как они этого добились. Причем на вяленном сеансе этого нет.

Но на вяленном свои приколы, в частности в виде абсолютно неюзабельного для тачпадов говна под названием libinput, скроллинг на котором превратился в какую-то боль. На иксах с синаптиком я мог мгновенно скроллить буквально на несколько пикселей, а у либинпута есть джиттер с таймаутом на реакцию, и нет никаких настроек, потому что автор считает что они не нужны.

А еще исчезли настройки тачпада в сеансе иксов, совсем.

По-моему, это провал уровня KDE4.0 != KDE4

liksys ★★★★
()
Ответ на: комментарий от Clayman

то, что ты не смог осилить спп это чисто твой косяк. архитектурные проблемы с башкой языки программирования не лечат.

bernd ★★★★★
()
Ответ на: комментарий от sanyo1234

кде3 уже устарело и не шевелится, а вот гном 2 вполне шевелится, я сейчас на нем. хорош как всегда и темы не удаляют файлы :D

bernd ★★★★★
()

вовремя я сбежал, кеды скатываются всё глубже

InterVi ★★★★★
()
Ответ на: комментарий от hikari

Почему баг? Может так и задумано было. По крайней мере никаких заявлений от автора о том что он случайно не видно.

firkax ★★★★★
()

поэтому гном и лучше, всем советую!
и Ваши данные/настройки целые.

etwrq ★★★★★
()

Этот случай стал предметом обсуждения на форуме openSUSE в Reddit и выявил потенциальную уязвимость в системе безопасности дистрибутивов на базе Linux.

Какой такой системе безопасности, о чём вообще речь?

firkax ★★★★★
()

Жесть какая. Всегда не доверял всяким «установщикам» тем из *-look.org. А тут, похоже, установка темы из официального источника?

TechnoMag ★★
()
Ответ на: комментарий от Clayman

Да ну, гониво. Третьи кеды, как и второй гном, кстати, были очень классной ДЕ. Я на них долго сидел, горя не знал. А теперь дух второго гнома живёт в MATE, а вот третьи кеды слили (ну тринити это как-то... несерьёзно) в пользу непонятно чего вообще. Я, может, как-то отстал от жизни, но в моём образном представлении был такой игрушечный городок из кубиков — третьи кеды. Его во имя «прогресса» раскидали и теперь вместо нового городка выкладывают какую-то разноцветную мандалу на полу.

Smacker ★★★★★
()

Разве тема → это не просто набор файлов, раскидываемый по буквально двум-трем каталогам? Откуда там вообще скрипт, который что-то удаляет?

Zhbert ★★★★★
()
Ответ на: комментарий от sanyo1234

Ну, не все так плохо, но интерфейс у KDE по сравнению с тем же Xfce не интуитивный.

Skullnet ★★★★★
()

А вообще это трындец, конечно, позволять ТЕМЕ запускать команды и скрипты. Там если что-то «скриптованное» и может быть разрешено, то только что-то полностью под колпаком DE, типа SSI, Lua, или на худой конец какого-то диалекта JS, которые в принципе не могли бы дёрнуться в сторону от жёстко ограниченных полномочий на кастомизацию заранее предопределённых файлов, которые в саму тему и входят. А вообще мы годами жили с нормальными темами, которые состояли только из текстовых файлов и картинок, и дальше так жить должны ящитаю.

Smacker ★★★★★
()

Вы ошиблись с заголовком, правильный звучит так:

Красношляпочные щупальца добрались и до кед

Was2023
()

После апдейта 6 кед перебрался обратно на свой уютный bspwm, о чем ни капли не жалею.

xaTa ★★★★
()
Ответ на: комментарий от imul

Мне стало интересно, почему в данной ситуации использован термин «спорная»?

Мне кажется это как хлопок, вместо взрыва. Чтобы не пугать страусов. Ну и писать в прессрелизе слово «вредоносная», слишком сильно ударит по репутации(хотя, куда уж больше).

На реддите вот что написано

«I can't confirm whether this was malicious, to my understanding it was just a compatibility and programmers mistake gone south.»

Т.е. они не уверены, что это не случайный баг.

Loki13 ★★★★★
()
Последнее исправление: Loki13 (всего исправлений: 1)
Ответ на: комментарий от liksys

Мне вот интересно, у тех клоунов, что под моими каментами отметились, есть что-то по существу возразить? Может, перечисленных мной багов не существует? Или, может, исполнение шелл-скриптов из интернета - это норма? Или, скажем, количество багрепортов в сутки у KDE не возрасло? С чем вы не согласны-то, м? %)

liksys ★★★★
()
Последнее исправление: liksys (всего исправлений: 1)

Винлокер в ядро уже встроили, майнеры, кейлоггеры, руткиты тоже давно имеются, даже игорь завезли. А теперь уже второй (первым был Steam) инцидент по глобальному удалению данных. Linux is new Windows! \ö/

mord0d ★★★★★
()

Я с Xfce ушёл на пятые кеды, просто потому что оно красивое, но после релиза шестых кед решил откатиться обратно. Сейчас, правда, пробую Cinnamon. Но я понял одно - непредсказуемость кед меня напрягает. Да, они красивые, удобные во многих моментах, но непредсказуемые просто жесть как. Теперь я понимаю, почему Xfce обновляется раз в пятилетку. Ради стабильности.

mshewzov ★★★
()

Вот это дырень. Т.е. при установки глобальная тема может выполнять шелл команды. Мне интересно, кто автор этой идеи и кто её реализовывал?

WatchCat ★★★★★
()
Ответ на: комментарий от Smacker

Просрали, это когда был переход с KDE 3 на KDE 4. А сейчас так себе, немножко пропукали.

rupert ★★★★★
()
Ответ на: комментарий от avas1

ну не работает у меня исправно Wayland

Попробуй X11. Говорят, это новая, подающая надежды технология.

rupert ★★★★★
()
Ответ на: комментарий от Feonis

Сейчас есть только у тех, кто использует KDE Neon или тот, кто позаботился об установке самой свежей версии

Ещё тем, кто на роллинге уже прилетело. Суза или арчик. Ну ничего, работать можно. Я думал, что-то сломается, но чего не сломалось и даже не крашнулось, даже скучно как-то. Но я пропустил версию 6.0.0, а сразу обновился на 6.0.2, в которой говорят самые серьезные баги пофиксили.

rupert ★★★★★
()
Ответ на: комментарий от rupert

не знаю как вам сэр, а мне 6 кеды понравились, по сравнению с тем глюкнутым DE что щупал ранее на Debian P.S. какие существуют дистрибутивы свободные от Systemd что имели бы магазин приложений искаробки?

avas1
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.