
sudo rm
Hányszor találkoztunk a híres vicc (ami több mint vicc, rosszindulatú cselekedet) innen: "sudo rm -rf" átlóval (nem helyezem el teljesen, mert valaki összezavarodhat, és figyelmeztetem, hogy nem vagyok felelős) amelyet ha a felhasználó rosszul futtat a terminálján, akkor a rendszerén egyetlen fájl nélkül is terminálhat és mindenekelőtt rendszer nélkül maradva. A Windowshoz kapcsolódóan ez a cselekmény valami olyasmi, mintha a felhasználó törölné a system32 mappát, ami ismertebb, de nem tudja, lényegében használhatatlanná teszi a rendszerét, hiszen mindent kiiktat, ami a működéséhez szükséges.
Ennek megemlítésének oka az Linuxban nagyon gyakori, hogy a felhasználók törölnek egy fájlt vagy mappát grafikusan, vagyis másodlagos kattintással és „törléssel”, eddig jó. De ha valami fejlettebb dologba megy bele, vagy a felhasználó inkább töröl valamit a gyökérből és teljesen, akkor általában az "rm" parancsot használják, ami ha valamilyen argumentummal együtt használjuk, akkor valamilyen típusú utasítás alkalmazásával hajtja végre a feladatot, azaz eliminálja. kérés nélkül (vigyázni kell) törölni mappákat és almappákat, vagy másrészt törölni, de mindig megkérdezni, hogy mit kell tenni az egyes fájlokkal és mappákkal.
Ezt már egy kicsit elmagyaráztam azoknak az újoncoknak, akiknek a cikk célja, hogy beszámoljanak egy közelmúltbeli incidensről, és vigyázzanak, mit telepítenek. A cikk motivációja az, hogy Néhány nappal ezelőtt a KDE fejlesztői ajánlást adtak ki de Ne telepítsen nem hivatalos globális témákat és widgeteket a KDE-hez.
Ezt az ajánlást azután tették, hogy tudomást szereztek róla egy olyan esemény, amikor a felhasználó az összes személyes fájl törlését tapasztalta a Gray Layout téma telepítésekor a KDE Store-ból, amely körülbelül 4000 letöltést tartalmazott. Úgy gondolják, hogy ezt az incidenst nem rosszindulatú szándék okozta, hanem az „rm -rf” parancs nem biztonságos használatához kapcsolódó hiba.
Fejlesztők magyarázza el, hogy a KDE globális témák lehetővé teszik olyan plazmoidok használatát, amelyek tetszőleges parancsokat hajtanak végre, beleértve azokat is, amelyek képesek fájlokat törölni.
Ez akkor fordulhat elő, ha a kódban olyan konstrukciókat használnak, mint az "rm -rf $VAR/*", ami olyan helyzethez vezethet, amikor a $VAR változó nincs inicializálva, ami az "rm -rf /*" tényleges végrehajtását eredményezi. parancsot. ». Hasonló hibákat észleltek korábban más programok inicializálási vagy telepítési szkriptjeiben, mint például a Squid, a Steam, a yandex-disk-indicator és a Bumblebee.
A konkrét incidens a PlasmaConfSaver widgetkód hívása miatt történt, amely tartalmaz egy save.sh szkriptet, amely a régi konfigurációs fájlok eltávolítására szolgál egy korábbi telepítésből. Ez a szkript az "rm -Rf "$configFolder" parancsot használja, de a kód nem ellenőrzi megfelelően a $configFolder változó konfigurációját, amelynek értéke a parancssori argumentumban ("configFolder=$2") kerül átadásra. Ez olyan helyzetekhez vezethet, amikor a configFolder változó értékét félreértelmezik, ami az összes felhasználói adat véletlen törlését eredményezi.
Annak érdekében, hogy ez a helyzet a jövőben ne fordulhasson elő, a A KDE fejlesztői a KDE Store könyvtárában közzétett, harmadik féltől származó témák auditálását tervezik az előző esethez hasonló lehetséges hibák azonosítására. Azt is fontolgatják, hogy figyelmeztetéseket adjanak hozzá, amikor témákat telepítenek külső felhasználóktól, és megvizsgálják a KDE Store-ban tárolt projektek előzetes átvilágításának lehetőségét, hogy megakadályozzák a témák szelektív elhelyezését rosszindulatú támadók által, például érzékeny adatok ellopása vagy folyamatok végrehajtása során. . a kriptotárca számok manipulálásához a KDE áruház vágólapján.
Fontos ezt megjegyezni sok felhasználó nem tudja, hogy egy téma telepítése kódot futtathat, ami a biztonságra való odafigyelés hiányához vezethet a témák telepítésekor. A globális témák nem csak a vizuális megjelenést befolyásolják, hanem a Plasma viselkedését is módosíthatják azáltal, hogy a képernyőzárak és más, kódot végrehajtó kisalkalmazások saját implementációit tartalmazzák. Az erőforrások korlátai miatt a KDE Store könyvtárában lévő projekteket nem ellenőrzik alaposan, és elsősorban bizalmi alapon teszik közzé, annak ellenére, hogy bárki regisztrálhat projekteket a könyvtárban.
Ha szeretne többet megtudni róla, a részleteket a következő link.