ಕೆಡಿಇ ಥೀಮ್ ಬಳಕೆದಾರ ಫೈಲ್‌ಗಳನ್ನು ಅಳಿಸುವ ಘಟನೆ

ಸರಿಸುಮಾರು 4000 ಡೌನ್‌ಲೋಡ್‌ಗಳೊಂದಿಗೆ KDE ಸ್ಟೋರ್‌ನಿಂದ ಗ್ರೇ ಲೇಔಟ್ ಥೀಮ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ ಬಳಕೆದಾರರಿಂದ ಎಲ್ಲಾ ವೈಯಕ್ತಿಕ ಫೈಲ್‌ಗಳ ಅಳಿಸುವಿಕೆಯನ್ನು ಒಳಗೊಂಡ ಘಟನೆಯ ನಂತರ KDE ಯೋಜನೆಯು KDE ಗಾಗಿ ಅನಧಿಕೃತ ಜಾಗತಿಕ ಥೀಮ್‌ಗಳು ಮತ್ತು ವಿಜೆಟ್‌ಗಳನ್ನು ಸ್ಥಾಪಿಸುವುದರ ವಿರುದ್ಧ ಶಿಫಾರಸು ಮಾಡಿದೆ. ಈ ಘಟನೆಯು ದುರುದ್ದೇಶಪೂರಿತ ಉದ್ದೇಶದಿಂದ ಉಂಟಾಗಿಲ್ಲ, ಆದರೆ "rm -rf" ಆಜ್ಞೆಯ ಅಸುರಕ್ಷಿತ ಬಳಕೆಗೆ ಸಂಬಂಧಿಸಿದ ದೋಷದಿಂದ ಸಂಭವಿಸಿದೆ ಎಂದು ನಂಬಲಾಗಿದೆ.

ಕೆಡಿಇ ಗ್ಲೋಬಲ್ ಥೀಮ್‌ಗಳು ಅನಿಯಂತ್ರಿತ ಆಜ್ಞೆಗಳನ್ನು ಚಲಾಯಿಸುವ ಪ್ಲಾಸ್ಮೋಯಿಡ್‌ಗಳನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಒದಗಿಸುತ್ತದೆ, ಇದನ್ನು ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ ಫೈಲ್‌ಗಳನ್ನು ಅಳಿಸಲು ಬಳಸಬಹುದು. ಕೋಡ್‌ನಲ್ಲಿ “rm -rf $VAR/*” ನಂತಹ ರಚನೆಗಳನ್ನು ಬಳಸುವಾಗ, $VAR ವೇರಿಯೇಬಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿದಾಗ ಪರಿಸ್ಥಿತಿಯು ಉದ್ಭವಿಸಬಹುದು, ಇದು “rm -rf /*” ಆಜ್ಞೆಯ ನಿಜವಾದ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ಹಿಂದೆ, ಸ್ಕ್ವಿಡ್, ಸ್ಟೀಮ್ ಮತ್ತು ಬಂಬಲ್ಬೀಯ ಆರಂಭಿಕ ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳಲ್ಲಿ ಇದೇ ರೀತಿಯ ದೋಷಗಳು ಕಾಣಿಸಿಕೊಂಡವು.

ಘಟನೆಯು PlasmaConfSaver ವಿಜೆಟ್‌ನಿಂದ ಕರೆ ಮಾಡುವ ಕೋಡ್‌ನೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದೆ, ಇದು save.sh ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ, ಅದು ಕೊನೆಯ ಸ್ಥಾಪನೆಯಿಂದ ಉಳಿದಿರುವ ಹಳೆಯ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್‌ಗಳನ್ನು ಅಳಿಸುತ್ತದೆ. $configFolder ವೇರಿಯಬಲ್‌ನ ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಕೋಡ್ ಪರಿಶೀಲಿಸದಿದ್ದರೂ ಸಹ, "rm -Rf "$configFolder" ಆಜ್ಞೆಯೊಂದಿಗೆ ಫೈಲ್‌ಗಳನ್ನು ಅಳಿಸಲಾಗುತ್ತದೆ, ಅದರ ಮೌಲ್ಯವನ್ನು ಆಜ್ಞಾ ಸಾಲಿನ ಆರ್ಗ್ಯುಮೆಂಟ್ ಮೂಲಕ ರವಾನಿಸಲಾಗುತ್ತದೆ ("configFolder=$2") . ಕೋಡ್ ಅನ್ನು ಮೂಲತಃ ಕೆಡಿಇ 5 ರಲ್ಲಿ ಬಳಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿತ್ತು, ಆದರೆ ಕೆಡಿಇ 6 ರಲ್ಲಿನ ಬದಲಾವಣೆಗಳಿಂದಾಗಿ, ಹ್ಯಾಂಡ್ಲರ್‌ಗಳಿಗೆ ಕರೆ ಮಾಡುವ ತರ್ಕವು ಮುರಿದುಹೋಗಬಹುದು ಮತ್ತು ವೇರಿಯಬಲ್ ಎಲ್ಲಾ ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ಅಳಿಸುವ ಮೌಲ್ಯದೊಂದಿಗೆ ಕೊನೆಗೊಳ್ಳುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಚಾಲನೆಯಲ್ಲಿರುವ ಬದಲಿಗೆ " sh save.sh somepath/ ..." ಕೋಡ್ “sh save.sh somepath / ...” ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಿತ್ತು, ಇದು ಕಾನ್ಫಿಗ್ ಫೋಲ್ಡರ್ ವೇರಿಯೇಬಲ್‌ನಲ್ಲಿ “/” ​​ಮೌಲ್ಯಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ.

ಕೆಡಿಇ ಡೆವಲಪರ್‌ಗಳು ಒಂದೇ ರೀತಿಯ ದೋಷಗಳನ್ನು ಗುರುತಿಸಲು ಕೆಡಿಇ ಸ್ಟೋರ್ ಡೈರೆಕ್ಟರಿಗೆ ಪೋಸ್ಟ್ ಮಾಡಲಾದ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಥೀಮ್‌ಗಳನ್ನು ಆಡಿಟ್ ಮಾಡಲು ಉದ್ದೇಶಿಸಿದ್ದಾರೆ ಮತ್ತು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಬಳಕೆದಾರರು ಪೋಸ್ಟ್ ಮಾಡಿದ ಥೀಮ್‌ಗಳನ್ನು ಸ್ಥಾಪಿಸುವಾಗ ಎಚ್ಚರಿಕೆಗಳನ್ನು ಆಯೋಜಿಸುತ್ತಾರೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಕೆಡಿಇ ಸ್ಟೋರ್‌ನಲ್ಲಿ ಹೋಸ್ಟ್ ಮಾಡಲಾದ ಪ್ರಾಜೆಕ್ಟ್‌ಗಳ ಪೂರ್ವ-ಸ್ಕ್ರೀನಿಂಗ್ ಅನ್ನು ಪರಿಚಯಿಸುವ ಸಮಸ್ಯೆಯನ್ನು ಆಕ್ರಮಣಕಾರರಿಂದ ಉದ್ದೇಶಿತ ನಿಯೋಜನೆಯನ್ನು ಎದುರಿಸಲು ಚರ್ಚಿಸಲಾಗಿದೆ, ಉದಾಹರಣೆಗೆ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಕದಿಯುವುದು ಮತ್ತು ಕ್ರಿಪ್ಟೋ ವ್ಯಾಲೆಟ್ ಸಂಖ್ಯೆಗಳನ್ನು ವಂಚಿಸಲು ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ನಡೆಸುವುದು. ಕ್ಲಿಪ್ಬೋರ್ಡ್.

ವಿಶಿಷ್ಟವಾಗಿ, ಅನೇಕ ಬಳಕೆದಾರರು ಥೀಮ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವಾಗ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು ಎಂದು ಊಹಿಸುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ ಅವರು ಥೀಮ್ಗಳನ್ನು ಸ್ಥಾಪಿಸುವಾಗ ಭದ್ರತೆಗೆ ಸರಿಯಾದ ಗಮನವನ್ನು ನೀಡುವುದಿಲ್ಲ. ಗ್ಲೋಬಲ್ ಥೀಮ್‌ಗಳು ನೋಟವನ್ನು ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ, ಆದರೆ ಪ್ಲಾಸ್ಮಾದ ನಡವಳಿಕೆಯನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ ಮತ್ತು ಪರದೆಯ ಲಾಕರ್‌ಗಳು ಮತ್ತು ಆಪ್ಲೆಟ್‌ಗಳ ತಮ್ಮದೇ ಆದ ಅನುಷ್ಠಾನಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಅಂದರೆ. ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ಘಟಕಗಳು. ಸಂಪನ್ಮೂಲಗಳ ಕೊರತೆಯಿಂದಾಗಿ, KDE ಸ್ಟೋರ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಪೋಸ್ಟ್ ಮಾಡಲಾದ ಯೋಜನೆಗಳನ್ನು ಯಾವುದೇ ರೀತಿಯಲ್ಲಿ ಪರಿಶೀಲಿಸಲಾಗುವುದಿಲ್ಲ ಮತ್ತು ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಯಾರಾದರೂ ನೋಂದಾಯಿಸಿಕೊಳ್ಳಬಹುದು ಎಂಬ ವಾಸ್ತವದ ಹೊರತಾಗಿಯೂ ಕೇವಲ ನಂಬಿಕೆಯ ಆಧಾರದ ಮೇಲೆ ಇರಿಸಲಾಗುತ್ತದೆ.

ಮೂಲ: opennet.ru

DDoS ರಕ್ಷಣೆ, VPS VDS ಸರ್ವರ್‌ಗಳೊಂದಿಗೆ ಸೈಟ್‌ಗಳಿಗೆ ವಿಶ್ವಾಸಾರ್ಹ ಹೋಸ್ಟಿಂಗ್ ಅನ್ನು ಖರೀದಿಸಿ 🔥 DDoS ರಕ್ಷಣೆ, VPS VDS ಸರ್ವರ್‌ಗಳೊಂದಿಗೆ ವಿಶ್ವಾಸಾರ್ಹ ವೆಬ್‌ಸೈಟ್ ಹೋಸ್ಟಿಂಗ್ ಅನ್ನು ಖರೀದಿಸಿ | ProHoster