Fedora 30：6: kdelibs/kde-settings（2019-a746ac9c89）

high Nessus プラグイン ID 127873

Language:

概要

リモートのFedoraホストに1つ以上のセキュリティ更新プログラムがありません。

説明

この更新により、（KDEフレームワーク5にまだポートされていない）レガシーアプリケーションによって使用される互換性ライブラリ「kdelibs」4の**CVE-2019-14744（kconfigの任意のシェルコード実行）**を修正します。含まれている「kde-settings」更新により、セキュリティ修正と競合する、不要になった古い設定が削除されます（詳細については下記を参照）。

「kdelibs」4ビルドの修正の完全なリスト：

-* *CVE-2019-14744（#1740138、#1740140）**を修正します –
「kconfig」: 悪意のある「.desktop」ファイル（およびその他）がコードを実行する可能性があります。KConfigには、構成ファイルが任意のシェルコマンドを実行できるようにする意味のある機能がありました。残念ながら、これが信頼性の低い「.desktop」ファイルに悪用され、ユーザーが「.desktop」ファイルを実行しなくても、ターゲットユーザーとして任意のコードを実行する可能性があります。したがって、この更新プログラムにより、その不運な機能が削除されます。（上流からのパッチ：David Faure氏による「kf5-kconfig」修正、Kai Uwe Broulik氏による「kdelibs」4バックポート。）

- 修正 **#917848** - メンテナンスされておらずバグがあり、アプリケーションのロックアップを引き起こす可能性のある「gamin」ファイル監視サービスのサポートが削除されます。現在、KDirWatchは「inotify」に（直接）排他的に依存します。（Rex Dieter氏によるパッケージ修正。）

- 修正 **#1730770** - 廃止された「xf86misc」ライブラリの未使用の依存関係を削除します。（Kevin Kofler氏によるパッケージ修正。）

「kde-settings」ビルドの修正により、「xdg-user-dir」を呼び出す設定が削除されます。 CVE-2019-14744の修正により、KConfigの構成ファイルからのシェルコマンドの実行に対するサポートがなくなり、設定がすべて不要になったため（デフォルトの動作のみを再現するか、コメントアウトされているため）：

-「/usr/share/kde-settings/kde-profile/default/share/config/kdeglobals」、「/usr/share/kde-settings/kde-profile/minimal/share/config/kdeglobals」：「[Paths]」セクションを削除します。そこに設定された「Desktop」および「Documents」ディレクトリは、デフォルトで「kdelibs」4によって（xdg-user-dirsをネイティブでサポートしており、外部の「xdg-user-dir」コマンド呼び出しは不要です）、また今では「kdelibs3 >= 3.5.10-101」によって（ネイティブのxdg-user-dirサポートがバックポートされています）すでに検出されています。「Trash」設定は、すでにコメントアウトされています。

-「/usr/share/kde-settings/kde-profile/default/xdg/baloofi lerc」：「xdg-user-dir」の呼び出しを試行する、コメントアウトされた「folders」設定を削除します。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。