Dominik Penner discovered that KConfig, the KDE configuration settings framework, supported a feature to define shell command execution in .desktop files. If a user is provided with a malformed .desktop file (e.g. if it's embedded into a downloaded archive and it gets opened in a file browser) arbitrary commands could get executed. This update removes this feature.

The remote host is affected by the vulnerability described in GLSA-201908-07 (KDE KConfig: User-assisted execution of arbitrary code)

    A vulnerability was discovered in KDE KConfig&rsquo;s handling of .desktop       and .directory files.
  Impact :

    An attacker could entice a user to execute a specially crafted .desktop       or .directory file possibly resulting in execution of arbitrary code with       the privileges of the process.
  Workaround :

    There is no known workaround at this time.

The remote Ubuntu 16.04 LTS / 18.04 LTS host has packages installed that are affected by multiple vulnerabilities as referenced in the USN-4100-1 advisory.

    It was discovered that KConfig and KDE libraries have a vulnerability where an attacker could hide     malicious code under desktop and configuration files. (CVE-2019-14744)

    It was discovered that KConfig allows remote attackers to write to arbitrary files via a ../ in a filename     in an archive file. (CVE-2016-6232)

Tenable has extracted the preceding description block directly from the Ubuntu security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

An update for kdelibs and kde-setting is now available for Red Hat Enterprise Linux 7.

Red Hat Product Security has rated this update as having a security impact of Important. A Common Vulnerability Scoring System (CVSS) base score, which gives a detailed severity rating, is available for each vulnerability from the CVE link(s) in the References section.

The K Desktop Environment (KDE) is a graphical desktop environment for the X Window System. The kdelibs packages include core libraries for the K Desktop Environment.

Security Fix(es) :

* kdelibs: malicious desktop files and configuration files lead to code execution with minimal user interaction (CVE-2019-14744)

For more details about the security issue(s), including the impact, a CVSS score, acknowledgments, and other related information, refer to the CVE page(s) listed in the References section.

Bug Fix(es) :

* kde.csh profile file contains bourne-shell code (BZ#1740042)

Note that Tenable Network Security has attempted to extract the preceding description block directly from the corresponding Red Hat security advisory. Virtuozzo provides no description for VZLSA advisories. Tenable has attempted to automatically clean and format it as much as possible without introducing additional issues.

CVE-2019-14744のセキュリティ問題を修正するには、Upstream修正をバックポートします。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

kconfig、kdelibs4用のこの更新プログラムでは、以下の問題が修正されています：

  - CVE-2019-14744：シェル拡張によるコマンド実行を修正しました（boo#1144600）。

この更新により、レガシーKDE 3アプリケーションによって使用されるkdelibsのKDE 3互換性バージョン4の**CVE-2019-14744（kconfigの任意のシェルコード実行）**を修正します。

この「kdelibs3」ビルドの修正の完全なリスト：

  - 修正**CVE-2019-14744** -「kconfig」：悪意のある「.desktop」ファイル（およびその他）がコードを実行する可能性があります。
    KConfigには、構成ファイルが任意のシェルコマンドを実行できるようにする意味のある機能がありました。
    残念ながら、これが信頼性の低い「.desktop」ファイルに悪用され、ユーザーが「.desktop」ファイルを実行しなくても、ターゲットユーザーとして任意のコードを実行する可能性があります。
    したがって、この更新プログラムにより、その不運な機能が削除されます。
    （上流のKevin Kofler氏によりバックポート：David Faure氏による「kf5-kconfig」の修正、Kai Uwe Broulik氏による「kdelibs」4バックポート。）

  - 構成ファイルから「xdg-user-dir」にシェルアウトすることなく、*Desktop*および*Documents*用の**xdg-user-dirs**のネイティブサポートを追加します。これは、上記のセキュリティ修正のために必要です。（以前、この機能は削除されたKConfig機能を使用して構成ファイルから「xdg-user-dir」にシェルアウトすることで、Fedoraの「kde-settings」に実装されていました。）（Trinity Desktop/Timothy PearsonのKevin Kofler氏によりバックポートされました。）

  - JavaScriptを実行しようとする際にQuanta PlusなどのレガシーKDE 3アプリケーションをクラッシュさせる可能性がある**KJS二重解放**を修正します。（OpenSUSE/Trinity DesktopのWolfgang Bauer氏/Timothy Pearson氏によりバックポートされています。）

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

出典：Red Hatセキュリティアドバイザリ2019:2606：kdelibsおよびkde-settingの更新プログラムが、Red Hat Enterprise Linux 7で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。KDE（K Desktop Environment）は、X Window System向けのグラフィカルデスクトップ環境です。kdelibsパッケージには、K Desktop Environment用のコアライブラリが含まれています。セキュリティ修正プログラム：* kdelibs：悪意のあるデスクトップファイルと構成ファイルにより、最小限のユーザー操作でコードが実行される可能性があります（CVE-2019-14744）影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。バグ修正プログラム：* kde.cshプロファイルファイルにはbourne-shellコードが含まれています（BZ#1740042）

- kdelibs: 悪意のあるデスクトップファイルと設定ファイルで、
 最小限のユーザー対話でコードが実行される可能性（CVE-2019-14744）
 
 バグ修正プログラム:
 

  - kde.cshプロファイルファイルにはbourne-shellコードが含まれています
    --

ID	Name	Product	Family	Published	Updated	Severity
127490	Debian DSA-4494-1 : kconfig - security update	Nessus	Debian Local Security Checks	8/12/2019	5/7/2024	high
127956	GLSA-201908-07 : KDE KConfig: User-assisted execution of arbitrary code	Nessus	Gentoo Local Security Checks	8/20/2019	5/2/2024	high
128025	Ubuntu 16.04 LTS / 18.04 LTS : KConfig and KDE libraries vulnerabilities (USN-4100-1)	Nessus	Ubuntu Local Security Checks	8/20/2019	8/27/2024	high
144250	Virtuozzo 7 : kdelibs / kdelibs-apidocs / kdelibs-common / etc (VZLSA-2019-2606)	Nessus	Virtuozzo Local Security Checks	12/15/2020	2/1/2024	high
127824	Fedora 30：kf5-kconfig（2019-48b691092f）	Nessus	Fedora Local Security Checks	8/13/2019	5/3/2024	high
127883	openSUSEセキュリティ更新プログラム：kconfig/kdelibs4（openSUSE-2019-1851）	Nessus	SuSE Local Security Checks	8/14/2019	5/3/2024	high
127940	Fedora 29：kdelibs3（2019-9f2ee52c88）	Nessus	Fedora Local Security Checks	8/20/2019	5/2/2024	high
128494	Oracle Linux 7 : kde-settings/kdelibs（ELSA-2019-2606）	Nessus	Oracle Linux Local Security Checks	9/4/2019	11/1/2024	high
128500	Scientific Linux セキュリティ更新: SL7.x x86_64のkdelibsおよびkde-settings（20190903）	Nessus	Scientific Linux Local Security Checks	9/4/2019	4/29/2024	high

Detections

Analytics

Plugins Search

high

high

high

high

high

high

high

high

high