Fedora 30：kdelibs3（2019-f9f78895c3）

high Nessus プラグイン ID 127944

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

この更新により、レガシーKDE 3アプリケーションによって使用されるkdelibsのKDE 3互換性バージョン4の**CVE-2019-14744（kconfigの任意のシェルコード実行）**を修正します。

この「kdelibs3」ビルドの修正の完全なリスト：

- 修正**CVE-2019-14744** -「kconfig」：悪意のある「.desktop」ファイル（およびその他）がコードを実行する可能性があります。
KConfigには、構成ファイルが任意のシェルコマンドを実行できるようにする意味のある機能がありました。
残念ながら、これが信頼性の低い「.desktop」ファイルに悪用され、ユーザーが「.desktop」ファイルを実行しなくても、ターゲットユーザーとして任意のコードを実行する可能性があります。
したがって、この更新プログラムにより、その不運な機能が削除されます。
（上流のKevin Kofler氏によりバックポート：David Faure氏による「kf5-kconfig」の修正、Kai Uwe Broulik氏による「kdelibs」4バックポート。）

- 構成ファイルから「xdg-user-dir」にシェルアウトすることなく、*Desktop*および*Documents*用の**xdg-user-dirs**のネイティブサポートを追加します。これは、上記のセキュリティ修正のために必要です。（以前、この機能は削除されたKConfig機能を使用して構成ファイルから「xdg-user-dir」にシェルアウトすることで、Fedoraの「kde-settings」に実装されていました。）（Trinity Desktop/Timothy PearsonのKevin Kofler氏によりバックポートされました。）

- JavaScriptを実行しようとする際にQuanta PlusなどのレガシーKDE 3アプリケーションをクラッシュさせる可能性がある**KJS二重解放**を修正します。（OpenSUSE/Trinity DesktopのWolfgang Bauer氏/Timothy Pearson氏によりバックポートされています。）

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。