The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в библиотеке libgsf, затрагивающая GNOME

07.10.2024 08:58

В библиотеке libgsf, развиваемой проектом GNOME, выявлена уязвимость (CVE-2024-42415), которая может привести к выполнению кода при обработке специально оформленного файла. Уязвимость вызвана целочисленным переполнением, приводящим к записи данных за пределы выделенного буфера при обработке таблицы распределения секторов в процессе разбора параметров из заголовка файлов в формате CDF (Compound Document Format).

Библиотека libgsf предоставляет функции для разбора различных структурированных форматов файлов, среди которых архивы и форматы документов. Помимо приложений, таких как AbiWord, Gnumeric, GNOME Commander и Nemo, библиотека применяется проектом GNOME в поисковом движке tracker-miners и используется как зависимость в пакете tracker-extract, автоматически собирающем метаданные о новых файлах.

Опасность состоит в том, что использующий libgsf сервис GNOME автоматически индексирует и разбирает все файлы в домашнем каталоге без каких-либо действий со стороны пользователя. Таким образом, для атаки необходимо добиться появления в каталоге пользователя специально созданного файла (например, для попадания файла в каталог ~/Downloads в некоторых случаях достаточно нажатия на ссылку в браузере) и уязвимость будет эксплуатирована во время его автоматической индексации.

Уязвимость устранена в обновлении библиотеки libgsf 1.14.53. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. В большинстве дистрибутивов с GNOME компонент tracker-miners активируется по умолчанию и загружается как жёсткая зависимость к файловому менеджеру Nautilus (GNOME Files). Для отключения tracker-miners для текущего пользователя можно использовать команды:


   systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
   tracker reset --hard


  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость в libcue, приводящая к выполнению кода при загрузке файлов в GNOME
  3. OpenNews: Уязвимость, позволяющая запустить код при копировании файла на рабочий стол
  4. OpenNews: Угроза безопасности из-за автоматической обработки мультимедийных файлов
  5. OpenNews: Уязвимость в gnome-exe-thumbnailer, позволяющая выполнить код при просмотре каталога с MSI-файлом
  6. OpenNews: Уязвимость в GNOME Evince, позволяющая выполнить код при построении миниатюр
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62006-libgsf
Ключевые слова: libgsf, gnome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 09:50, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Круто!
    Можно даже файл не открывать, достаточно просто скачать.
    Вот она, надежность))

    А про саму дырень даже писать ничего не хочу.
    И так всё понятно...

     
     
  • 2.3, iPony129412 (?), 09:51, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Никогда такого не было, и вот опять.
     
     
  • 3.25, Аноним (25), 12:22, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И ведь хомусы продолжают настойчиво юзать гноме даже при том что этот гуй в принципе неюзабелен баз дизайн. Хомам главное гипножабу показать что вы будете совершенно счастливыми и всё они рады. Отроки во вселенной пророческий фильм.
     
  • 2.24, Аноним (25), 12:20, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а ты думаешь почему гноме продвигают из всех доступных щелей? И со всеми кто против гноме потом приключаются разные проблемы?
     
     
  • 3.26, Nv (?), 12:46, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Alt+g и вперед
     
  • 2.37, какая разница (?), 14:56, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А где надёжность? В крысе, кедах, мяте?
     
     
  • 3.49, Аноним (-), 11:59, 08/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А где надёжность? В крысе, кедах, мяте?

    Нигде. У них у всех один первородный дефект, так сказать.
    Вся надежда на некоторые новые ДЕ. Где научатся не писать за пределы буфера.

     

  • 1.4, Аноним (4), 10:29, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    А в LXQt и XFCE нет подобного шлака. Чем больше шлака - тем больше уязвимостей.
     
     
  • 2.5, iPony129412 (?), 10:38, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не, чем меньше популрность, тем меньше уязвимостей

    приницп Джо работает

     
     
  • 3.18, Аноним (18), 11:07, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, а кто будет тратить силы по пропихиванию бекдоров в системы которыми никто не пользуется?
     
  • 2.6, zalupa (?), 10:41, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ага, конечно! Linux Mint 22 XFCE - библиотека присутствует!
     
     
  • 3.10, Аноним (4), 10:48, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    То, что она присутствует, не значит что она используется. В дебиано-убунтах кое-какие пакеты тащутся по зависимостях и не используются.
     
     
  • 4.12, iPony129412 (?), 10:51, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот советуют, как отключить превьюшки для офисных документов

    https://forum.xfce.org/viewtopic.php?id=15972

    Правильно, удалив один пакет

     
  • 4.21, Аноним (21), 11:21, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Просто нужно отключать в ПМ установку рекомендованных пакетов, и тогда ничего не будет тащиться.
     
  • 2.16, Аноним (16), 11:04, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А вообще без гуя ещё меньше "шлака". Бросайте вы эти LXQt и XFCE.
     
     
  • 3.22, Аноним (4), 11:29, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вообще, LXQt и LXDE самые минимальные DE с минимумом шлака. Особенно, если ставить с --no-install-recommends.
     
     
  • 4.27, Аноним (27), 12:56, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не, идеологически-то аноним прав. WM лучше, чем DE, а лучше всего просто Emacs запустить на весь экран, уведомления получать в sauron, а окнами управлять через exwm.

    Единственное, я только не знаю, как системный трей в exwm сделать.

     
  • 2.31, Аноним (31), 14:17, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Lubuntu 18.04 вот что пишет:

    > # tracker reset --hard
    > Command 'tracker' not found, but can be installed with:
    > apt install tracker

    Хорошо, что я не обновляюсь.

     

  • 1.11, oditynet (?), 10:48, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Странно,но почему у меня tracker выключен уже как год? Может потому что я изучаю систему, а не пишу **** вида "А про саму дырень даже писать ничего не хочу.
    И так всё понятно... "
    Сайт офигенный?но комментаторы как были дном в 2015 году? так и остались . Мало кто что-то свое создал, но написать ерунду может каждый
     
     
  • 2.13, Аноним (-), 10:57, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Может потому что я изучаю систему

    А потом у тебя абсолютно аналогичная дырень будет в другом компоненте.
    Или софтине. Или вообще в ядре.
    И это повторяется из года в год уже лет тридцать.
    Поэтому и так всё понятно.

    > Мало кто что-то свое создал

    Разве нужно быть шеф-поваром чтобы понять что еда тухляк?

    > но написать ерунду может каждый

    Так и пишут. А потом там дырени находят.

     
  • 2.17, Аноним (18), 11:05, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Странно,но почему у меня tracker выключен уже как год?

    странно, что ты еще смог его выключить :)

     
     
  • 3.20, oditynet (?), 11:11, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    arch - это правильный выбор. ))
     
     
  • 4.48, Black_Kot (ok), 03:49, 08/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Gentoo - это правильный выбор.
    Вообще этот tracker и libgsf не установлены, потому что лишние зависимости отключены попросту.
     
  • 2.33, Аноним (33), 14:24, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Полагаю, те, кто так пишут, как раз и создали, поэтому прекрасно знают, о чём говорят.
     

  • 1.28, Аноним (-), 13:06, 07/10/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.29, Аноним (29), 13:52, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О! Как раз почти год с прошлой дырени в гномовом tracker CVE-2023-43641
    https://www.opennet.ru/opennews/art.shtml?num=59896

    P.S. В Debian имена сервис файлов для маскирования с суффиксом "-3".

    $ apt-file search /usr/lib/systemd/user/tracker
    tracker: /usr/lib/systemd/user/tracker-xdg-portal-3.service
    tracker-extract: /usr/lib/systemd/user/tracker-writeback-3.service
    tracker-miner-fs: /usr/lib/systemd/user/tracker-miner-fs-3.service
    tracker-miner-fs: /usr/lib/systemd/user/tracker-miner-fs-control-3.service

     
  • 1.30, Аноним (30), 14:04, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Опасность состоит в том, что использующий libgsf сервис GNOME автоматически индексирует и разбирает все файлы в домашнем каталоге без каких-либо действий со стороны пользователя.

    Всегда интересовало: а что именно подразумевается под всем этим "индексирует"? И как можно воспользоваться результатами этой "индексации"? Никто не разбирался?

     
     
  • 2.36, какая разница (?), 14:55, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты что-то скачал, система "записала" его данные в конфиги и "написала" где этот файл в системе.
    Так понятно?
     
     
  • 3.39, Аноним (30), 15:55, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Так понятно?

    Нет.
     
    Какого рода данные по этим файлам "система записала в конфиги"? Какую-то метаинформацию по файлам известных форматов (например: картинка png, 640*480, 32 бита), вхождение слов/фраз в теле/заголовках? Как потом это пользователю использовать? Поиск: "квартальный отчёт 2023" - пойдёт, "картинка с вазой" - вряд ли найдёт.

    Как-то не очень функционально всё выглядит: либо для забывчевых, либо у кого бардак в файлах. Зачем подобное включать всем - непонятно.

     
     
  • 4.43, Данные в поле Name (?), 16:58, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Даже банальный поиск по названию файла требует индексации, чтобы не читать весь диск на каждый поиск. В Nautilus ещё как минимум есть фильтрация по типу файла и поиск в поддиректориях, это тоже требует индексации.
     
     
  • 5.46, Аноним (46), 21:33, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Даже банальный поиск по названию файла требует индексации, чтобы не читать весь
    > диск на каждый поиск.

    Для этого у нас уже 100 лет (смотрит в заголовок сорца: ладно, не 100 а лишь 35) как есть locate. Чего оно умеет "больше" и лучше?

     
  • 5.47, Аноним (30), 22:43, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если делать поиск по всему диску, то такая индексация, действительно, может быть полезной. Но после пары подобных поисков уже начинаешь более точно указывать, где искать. И тогда всё не так страшно: файловые системы всё-таки оптимизированы под перебор содержимого каталогов + разного рода кэширование + ssd. А поиск/фильтрация по типу файла без привязки к файловым расширениям - это да, без какой-нибудь индексации будет тяжко. OK, принимается.
     

  • 1.32, Аноним (31), 14:21, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > использующий libgsf сервис GNOME автоматически индексирует и разбирает все файлы в домашнем каталоге без каких-либо действий со стороны пользователя

    Вон куда метят! "Домашний каталог". "Без действий пользователя".
    Spyware в чистом виде.

     
     
  • 2.35, какая разница (?), 14:52, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я тебя огорчу, но это просто индексация файлов..
     

  • 1.41, Аноним (41), 16:15, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Огорошу вас. В Кедах тип файла идентифицируется не по расширению, а по заголовку. Отключить это никак нельзя. Так что даже если тебе кинут файл 0001.download.tmp, то кеды его всё равно откроют для создания миниатюр. И для индексации тоже.
     
  • 1.45, Аноним (45), 19:44, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Tracker - гадость
    https://gist.github.com/vancluever/d34b41eb77e6d077887c
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру