"rm -rf", trečiosios šalies KDE temos klaida leido vykdyti komandą ir ištrinti visus vartotojo failus

sudo rm

sudo rm

Kiek kartų mes susidūrėme su garsus pokštas (tai daugiau nei pokštas, tai piktavališkas veiksmas) iš "sudo rm -rf" su įstrižaine (nesudėčiau iki galo, nes kažkas gali susipainioti ir įspėju, kad neatsakau) Jei vartotojas neteisingai paleidžia jį savo terminale, jis gali baigti be vieno failo savo sistemoje ir, svarbiausia, likti be sistemos. Šis veiksmas susijęs su Windows, tai kažkas panašaus į tai, jei vartotojas ištrynė system32 aplanką, kuris yra kažkas geriau žinomas, bet jūs nežinote, tai iš esmės palieka jūsų sistemą nenaudingą, nes pašalinate viską, kas reikalinga jos veikimui.

Priežastis tai paminėti yra ta „Linux“ naudotojai labai dažnai ištrina failą ar aplanką grafiškai, tai yra antriniu paspaudimu ir "ištrinti", kol kas viskas gerai. Bet kai einate į ką nors sudėtingesnio arba vartotojas nori ką nors pašalinti iš šaknies ir visiškai, dažniausiai naudojama komanda „rm“, kuri, jei naudojama su kokiu nors argumentu, atlieka užduotį taikydama tam tikros rūšies instrukcijas, ty pašalina. neklausdami (turite būti atsargūs), ištrinkite aplankus ir poaplankius arba, kita vertus, ištrinkite, bet visada klausdami, ką daryti su kiekvienu failu ir aplanku.

Jau šiek tiek paaiškinau tiems naujokams, kurių straipsnio tikslas yra pranešti apie neseniai įvykusį įvykį ir būti atsargiems su tuo, ką įdiegiate. Straipsnio motyvacija yra todėl Prieš kelias dienas KDE kūrėjai paskelbė rekomendaciją de Nediekite neoficialių pasaulinių KDE temų ir valdiklių.

Ši rekomendacija buvo pateikta jiems sužinojus incidentas, kai vartotojas patyrė visų savo asmeninių failų ištrynimą diegdamas pilkojo išdėstymo temą iš KDE parduotuvės, kurioje buvo apie 4000 atsisiuntimų. Manoma, kad šį incidentą sukėlė ne pikti ketinimai, o klaida, susijusi su nesaugiu komandos „rm -rf“ naudojimu.

Kūrėjai paaiškinkite, kad KDE pasaulinės temos leidžia naudoti plazmoidus, kurie vykdo savavališkas komandas, įskaitant tuos, kurie gali ištrinti failus.

Taip gali nutikti, kai kode naudojamos konstrukcijos, tokios kaip "rm -rf $VAR/*", todėl gali susidaryti situacija, kai $VAR kintamasis nėra inicijuojamas, todėl faktiškai vykdomas "rm -rf /*" komandą. ». Panašios klaidos anksčiau buvo pastebėtos inicijuojant arba diegiant kitų programų, tokių kaip Squid, Steam, yandex-disk-indicator ir Bumblebee, scenarijus.

Konkretus incidentas įvyko dėl PlasmaConfSaver valdiklio kodo skambučio, kuri apima save.sh scenarijų, skirtą pašalinti senus konfigūracijos failus iš ankstesnio diegimo. Šis scenarijus naudoja komandą "rm -Rf "$configFolder", bet kodas netinkamai patikrina $configFolder kintamojo, kurio reikšmė perduodama per komandinės eilutės argumentą ("configFolder=$2"), konfigūracijos. Dėl to gali atsirasti situacijų, kai kintamojo configFolder reikšmė yra neteisingai interpretuojama ir dėl to netyčia ištrinami visi vartotojo duomenys.

Kad tokia situacija nepasikartotų ateityje, KDE kūrėjai planuoja patikrinti trečiųjų šalių temas, paskelbtas KDE parduotuvės kataloge nustatyti galimas klaidas, panašias į ankstesnį incidentą. Jie taip pat svarsto galimybę įtraukti įspėjimus diegiant temas iš trečiųjų šalių vartotojų ir įvertinti galimybę atlikti išankstinį projektų, priglobtų KDE parduotuvėje, patikrinimą, kad užpuolikai, turintys piktų kėslų, pavyzdžiui, pavogti neskelbtinus duomenis ar vykdyti procesus, neleistų pasirinkti temų. . manipuliuoti kriptovaliutų piniginės numeriais KDE parduotuvės mainų srityje.

Svarbu tai pažymėti daugelis vartotojų nežino, kad įdiegus temą gali būti vykdomas kodas, todėl diegiant temas gali trūkti dėmesio saugumui. Pasaulinės temos ne tik veikia vizualinę išvaizdą, bet ir gali pakeisti Plasma veikimą įtraukdamos savo ekrano užraktų ir kitų programėlių, vykdančių kodą, įgyvendinimą. Dėl išteklių apribojimų KDE parduotuvės kataloge esantys projektai nėra nuodugniai patikrinti ir skelbiami visų pirma pasitikėjimo pagrindu, net jei kiekvienas gali registruoti projektus kataloge.

Kakleliai nori sužinoti daugiau apie tai, išsamią informaciją galite patikrinti sekanti nuoroda.


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Už duomenis atsakingas: AB Internet Networks 2008 SL
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.