The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в store.kde.org и каталогах OpenDesktop

25.06.2021 23:06

В каталогах приложений, построенных на основе платформы Pling, выявлена уязвимость, позволяющая совершить XSS-атаку для выполнения JavaScript-кода в контексте других пользователей. Проблеме подвержены такие сайты, как store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org и pling.com.

Суть проблемы в том, что платформа Pling допускает добавление мультимедийных блоков в формате HTML, например, для вставки ролика с YouTube или изображения. Добавляемый через форму код не проверяется должным образом, что позволяет под видом изображения добавить код вида "<img src=x onerror=alert(1)>" и разместить в каталоге информацию, при просмотре которой будет запущен JavaScript-код. Если информация будет открыта пользователям, имеющим учётную запись, то можно инициировать совершение в каталоге действий от имени данного пользователя, в том числе добавить вызов JavaScript на его страницы, реализовав подобие сетевого червя.

Кроме того, выявлена уязвимость в приложении PlingStore, написанном с использованием платформы Electron и позволяющем производить навигацию по каталогам OpenDesktop без браузера и устанавливать представленные там пакеты. Уязвимость в PlingStore позволяет выполнить свой код в системе пользователя. Во время работы приложения PlingStore дополнительно запускается процесс ocs-manager, принимающий локальные соединения через WebSocket и выполняющий команды, такие как загрузка и запуск приложений в формате AppImage. Подразумевается, что команды передаёт приложение PlingStore, но на деле из-за отсутствия аутентификации запрос к ocs-manager можно отправить и из браузера пользователя. В случае открытия пользователем вредоносного сайта, он может инициировать соединение с ocs-manager и добиться выполнения кода на системе пользователя.

Так же сообщается об XSS-уязвимости в каталоге extensions.gnome.org - в поле с URL домашней страницы дополнения можно указать JavaScript-код в форме "javascript: код" и при клике на ссылке вместо открытия сайта проекта будет запущен указанный JavaScript. С одной стороны, проблема носит больше умозрительный характер, так как размещение в каталоге extensions.gnome.org проходит премодерацию и для атаки требуется не только открытие определённой страницы, но и явный клик по ссылке. С другой стороны, не исключено, что во время проверки модератор пожелает перейти на сайт проекта, не обратит внимание на форму ссылки и запустит JavaScript-код в контексте своей учётной записи.

  1. Главная ссылка к новости (https://forum.opendesktop.org/...)
  2. OpenNews: Проект openDesktop продан компании Blue Systems
  3. OpenNews: Уязвимость в KDE, позволяющая выполнить код при просмотре списка файлов
  4. OpenNews: Уязвимость в KDE, позволяющая выполнить код при подключении внешнего носителя
  5. OpenNews: Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагивающей и LibreOffice
  6. OpenNews: Уязвимость в BitTorrent-клиенте Transmission, позволяющая выполнить код
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55393-kde
Ключевые слова: kde, pling, opendesktop
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:12, 25/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    >Electron
    >без браузера

    Не знаю кому как, а мне эта шутка зашла.

     
     
  • 2.2, InuYasha (??), 23:19, 25/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Я сдерживаюсь, как ведущий интервью с Ризитасом )
     
     
  • 3.44, Ольбертович (?), 20:56, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Hesuuuu ahi-ahi
     
  • 2.47, Аноним (47), 14:11, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В любой новости можно написать слово Электрон, и опеннетчики не увидят более ничего другого.
     
     
  • 3.49, Аноним (49), 11:55, 29/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не нравится писать "Electron", напиши "Rust".
     
  • 2.50, Аноним (49), 11:57, 29/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    К Кедам это не имеет отношения.
     

  • 1.3, InuYasha (??), 23:21, 25/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > допускает добавление мультимедийных блоков в формате HTML, например, для вставки ролика с YouTube или изображения.

    Вот тут можно выносить. Эта проблема известна со времён форумов со вставкой чего-то большего, чем картинок. "мы хотим дать юзерам iframe-ы, но не хотим малвари" :)

     
  • 1.4, Аноним (4), 00:06, 26/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что-то в последнее время уязвимостей находят как из рога изобилия.
     
     
  • 2.14, Аноним (14), 02:07, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    До этого никому дела не было пока работало. Что изменилось - политический контекст или наплыв буткемперов-ИБшников которым нужно оправдывать свои сертификаты чтобы получить работу, думайте сами.
     

  • 1.5, Аноним (5), 00:06, 26/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Про ocs-manager понравилось. По факту это Хром и ФФ проделали дыру вам в систему, а разрабы этот ocs-manager должны были это предвидеть, следить за новыми такими дырами и защищаться от них, потому что оказывается вдруг что любой вражеский JS код из браузера может слать любые запросы к моим любимым локалхост сервисам, специально забинженных на 127,0,0,1 ради безопасности. Но хром и фф писюн клали на безопасность.
     
     
  • 2.7, Аноним (4), 00:08, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Популярные браузеры всегда кладут болт на пользователей
     
     
  • 3.8, Аноним (8), 00:09, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Непопулярные не кладут?
     
     
  • 4.9, непопулярные (?), 00:18, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +10 +/
    А он уже лежал, когда мы делали форк, мы-то тут причем?!

     
  • 4.10, Амоним (?), 00:20, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    кладут не болт
     
     
  • 5.11, Аноним (11), 00:26, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А Гайку и Вжика
     
     
  • 6.12, Ordu (ok), 01:03, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Винтика и Шпунтика
     
  • 6.22, ыы (?), 09:47, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, положить Гайчку- еще куда ни шло... (экий проказник) но Вжика... извращенец вааще...
     
     
  • 7.43, Туши пукан васян (?), 20:54, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можешь Рокки положить если муха не нравится! Палка сыра и мышь твоя 🤣
     
  • 3.16, Аноним (16), 08:57, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Наоборот заботятся. Говнобанки (как минимум 1 красного цвета, и это не альфа (альфой не пользовался) ) заставляют пользователей ставить говноприложения вместо того, чтобы использовать PKCS11. Эти говноприложения висят на localhost, и слушают http-запросы от веб-страниц, при поступлении запроса выводят окно, где надо ввести пароль для токена. Что будет, если в таком приложении найдётся уязвимость - догадаться нетрудно.

    Что будет, если в Хроме однажды эту уязвимость прибьют? Доля Хрома сильно упадёт, а доля Internet Explorer сильно возрастёт. Банку ведь срать, он вас за яйца держит, это он диктует вам, какой софт у вас на компе будет.

     
     
  • 4.26, Dzen Python (ok), 10:38, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Так, банк, у тебя опаять отвалился IB, я, как владелец бизнеса, отзываю деньги со всех своих трех р/с, тендерного спецсчета и мелкого помойного полуанонимного счета на заранее созданные счета в других банках. В течении 30 банковских дней + писина куча бумажек? Щас... <звонок другу, в банк приехала проверка> Так, срок сократился до 10 банковских дней, половина бумажек оказывается не нужна, но управляющий лично хочет проверить движения? Щас... <катается жалоба в ЦБ, после чего завизированная ЦБ копия шлется в банк> Так, уже 3 дня и пара важных бумажек, и управляющий расхотел проверять? Доброго дня.

    Как будто банк действительно держит за яйца, забирая все содержимое счетов неустойкой, и не только собственная лень и НЕУДОСТВО не позволяют перейти в другой банк, или создать свой, получив у ЦБ аккредитацию.

     
     
  • 5.29, ыы (?), 10:49, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >только собственная лень и НЕУДОСТВО не позволяют .. создать свой,

    Dzen Python золотой мальчик... для него 300 миллионов рублей это карманные деньги...
    http://znaydelo.ru/biznes/idei/kak-otkryt-bank.html

    А может просто приукрашать любит?

     
  • 5.31, Майор (??), 11:01, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >создать свой, получив у ЦБ аккредитацию

    На уставной капитал попросить у Dzen Python?

     
     
  • 6.33, ыы (?), 11:12, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "только собственная лень и НЕУДОСТВО не позволяют .. надыбать уставной капитал для открытия банка" (с) посвящается  Dzen Python
     
  • 5.34, Lex (??), 11:39, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Эдак и свою водку можно официально производить и продавать..
    Лицензия, правда, 8,5 млн руб - и это только официальные сборы. Само-собой требования к сертифицированному оборудованию, к производственным помещениям, к поставщикам, к интеграции с системами контроля итд итп никуда не деваются.

    Мистер всерьёз полагает, что в банковской сфере прямого и косвенного контроля меньше чем в производстве алкоголя ?)

     
     
  • 6.35, Dzen Python (ok), 12:20, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Можно. Мистер говорит всего лишь, что банк всегда можно поменять, деньги со счетов - вывести, а не страдать и плакать, почему банк экономит на кодерах своих клиентских сервисов.

    Альзо при небходимости 300 миллионов может собрать даже средний холдинг на 2-3 региона присутствия. Не быстро, отлистал и пошел, полгода-год. Быстрее - если получить инвестиции от кого-то. Просто ребята не понимают порядок сумм на счетах даже у мелких ООО (не путать с засранскими ИП или мусорными ООО-под-ключ), 10-15 миллионов там в оперативном управлении вполне есть.

    > Мистер всерьёз полагает, что в банковской сфере прямого и косвенного контроля меньше чем в производстве алкоголя ?)

    Мистер видит кучу, нет ПИСИНУ КУЧУ мелких банков вокруг. Наверное - эти все офисы и работники там - иллюзия, а в стране работает только спермбанк, втб, олежа и альфа.

     
     
  • 7.39, Lex (??), 14:12, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Банк - это не из разряда «одному среднестатистическому человеку не понравились условия банка поэтому он сделал свой - как ип сделать, только банк». Хотя ты выше заявлял ровно об обратном, обвиняя собеседников в лени.

    Это что-то, что должно приносить соразмерную прибыль, поскольку расходов оно требует постоянных и серьезных.

    Не надо путать оборот и те суммы, которые можно просто взять и потратить на непрофильную деятельность, вдобавок, имеющиеся на счетах «прямо сейчас» в виде «живых» денег. В регионах не так уж и много подобных ООО.
    Если предположить, что «чистыми» получаются порядка 5% выручки( что  нечасто. Нередко ещё ниже ) то для накопления 300млн руб речь о:
    300 / 800 * 0,05 = 7,5 лет, в течение которых придётся копить всю прибыль максимально крупного малого предприятия( до 100 чел персонала ) только для начала работы по организации банка.
    300 / 2 000 * 0,05 = 3 года придётся копить максимально крупному среднему предприятию( до 250 чел персонала )

    Те банки не столь уж и мелкие.
    Это банки не уровня СНТ или деревни.. нередко, даже не уровня города, а, как минимум, региона, а то и нескольких.

     
  • 4.36, Аноним (-), 12:45, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Что будет, если в Хроме однажды эту уязвимость прибьют? Доля Хрома сильно
    > упадёт, а доля Internet Explorer сильно возрастёт. Банку ведь срать, он
    > вас за яйца держит, это он диктует вам, какой софт у вас на компе будет.

    Ты эта, не расстраивайся сильно ... но за стопервым километром не только псоглавцы обитают!

     
     
  • 5.42, уууу (?), 18:08, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а кто ещё? псозадцы?
     
     
  • 6.46, bergentroll (ok), 07:47, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Котолапцы и жабогласцы.
     
  • 2.18, ыы (?), 09:33, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть довольно много локалхост сервисов которые будучи написанные профессионально - имеют аутентификацию пользователя вне зависимости от того на локалхост они привязаны или не на локалхост.

    А если конкретно вы, когда пишите сервисы привязанные к локалхост- не вписываете им аутентификацию для критичных действий- ну вы сами себе дырки делаете. Настройте файрвол.  Не пищите больше сервисов. Или не жалуйтесь. А то что можно из скрипта на JS можно сделать сетевое соединение- это часть языка, и браузер тут не при чем.
    А то вы как те олухи которые требуют запретить TCP/IP поскольку через эти протоколы спам дескать рассылают...

     
     
  • 3.38, Аноним (5), 13:51, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я разрабатываю сайт. Логично что он у меня на локалхосте работает и без аутентификации. Сайт у меня подключен к базе, которая тоже на локалхосте. Да, доступ к базе по паролю, но доступ к сайту - нет. В базе лежат важные данные как то имена и емайлы. И теперь оказывается что любой ЖС на любом сайте имеет к ним доступ.
     

  • 1.6, Аноним (6), 00:07, 26/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    JavaScript. Нет рботы с памятью. Кто там кричал rust?
     
     
  • 2.37, Аноним (37), 13:20, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А памято то тут причем? Ты бы хоть текст новости почитал...
     

  • 1.15, Аноним (15), 06:21, 26/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Flash - куча уязвимостей - плохо
    JavaScript - куча+1 уязвимостей- хорошо

    Что-то тут не так...

     
     
  • 2.17, Аноним (8), 09:06, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так флеш отключался, а это понятно нехорошо.
     
     
  • 3.19, ыы (?), 09:35, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    JS тоже.
     
     
  • 4.21, Аноним (8), 09:47, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > JS тоже.

    Единицы сайтов были завязаны на флеш (и для этих сайтов его можно было разрешить). Сегодня же, средний сайт требует сотен скриптов на десятках доменов и не может работать без них. А umatrix, кстати, всё.

     
     
  • 5.23, ыы (?), 09:50, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    50% сайтов в интернет это единицы?
     
     
  • 6.24, Аноним (8), 10:08, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > 50% сайтов в интернет это единицы?

    Порнобаннеры не считаем, сайтов с флешем было не больше сайтов с джавой (а скорее меньше).

     
     
  • 7.27, BrainFucker (ok), 10:45, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > джавой (а скорее меньше)

    Под джавой ты тут что подразумеваешь, javascript или java applet? Если второе, то это не так.

     
     
  • 8.30, Аноним (8), 10:57, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Во всяком случае, я видел сайты, которые требовали жава апплет для работы в том... текст свёрнут, показать
     
     
  • 9.32, BrainFucker (ok), 11:11, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не считаю что это корректно исключать из выборки развлекательные сайты и называт... текст свёрнут, показать
     
  • 5.28, BrainFucker (ok), 10:46, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А umatrix, кстати, всё.

    Ну, пока работает. Будет ли дальше работать, зависит от того, не поломают ли API в Firefox.

     
  • 2.41, Аноним (37), 16:12, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так здесь уязвимость не в самом JS (в нем вообще сложно найти уязвимость), а в разметке.
     

  • 1.20, BrainFucker (ok), 09:45, 26/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Суть проблемы в том, что платформа Pling допускает добавление мультимедийных блоков в формате HTML, например, для вставки ролика с YouTube или изображения. Добавляемый через форму код не проверяется должным образом, что позволяет под видом изображения добавить код вида "<img src=x onerror=alert(1)>" и разместить в каталоге информацию, при просмотре которой будет запущен JavaScript-код. Если информация будет открыта пользователям, имеющим учётную запись, то можно инициировать совершение в каталоге действий от имени данного пользователя

    Так из фрейма же нет доступа к родительскому окну/фрейму, если дочерний расположен на другом домене. Максимум можно только родительский редиректнуть, но это ни к ничего особо страшному не приведёт и палевно для злоумышленника. Или таки фрейм там встраивается с этого же домена?

     
     
  • 2.25, ыы (?), 10:12, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно поставить в систему пакет, которого пользователь ставить не собирался.
    Маленький несущественный пакетик из того же самого репозитория, который никому небыл до этого нужен и никто на него внимания не обращал. маленький пакетик который делает только разрешенные действия... например скачивает откуда то программки...не требующие инсталляции которые связываются с другими программками на других компах пользователей...и просто считают хэши...
     
     
  • 3.40, Отражение луны (ok), 14:16, 26/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы из браузера поставить пакет - тебе нужно вызвать xdg-open, и то - пакет откроется в магазине и тебе придется дополнительно нажать кнопку install.
    Согласен с тем, что проблема раздута. Впрочем, очевидно, что действия от имени другого пользователя совершать таки действительно можно.
     
     
  • 4.45, Аноним (45), 02:49, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Таких балбесов, как ты, ещё поискать
     
  • 3.51, AleksK (ok), 09:25, 01/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как без пароля ты сможешь добавить репозиторий и тем более поставить из него пакет?
     

  • 1.48, darkshvein (ok), 11:03, 29/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >JavaScript-кода в контексте других пользователей.

    JS - язык, чтобы запрограммировать себе гарантированные выстрелы в ногу на всю жизнь.

    и когда это гуано, я имею в виду JS выкинут из кед?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру