Nella nuova versione di Ubuntu c’è un fastidioso bug che riguarda i suoni di sistema. Il wrapper per esd di pulseaudio infatti non funziona e c’è bisogno di avviare esd manualmente. Dopo aver installato il pacchetto esound, quindi, è sufficiente dare il comando esd da terminale e memorizzare la sessione.
Non avendo ricevuto alcuna risposta dal team KDE Security (il che è strano, data la solita celerità delle comunità di sviluppo open-source), ho deciso di pubblicare il bug di sicurezza che ho riscontrato in KPackage, nel caso qualche sviluppatore KDE si imbattesse in questa pagina.
È possibile verificare il bug avviando kpackage (versione 4.0.3) da terminale:
utente @ macchina ~ $ /usr/lib/kde4/bin/kpackage
Successivamente, è sufficiente mettere il segno di spunta su Ricorda la password, inserire la password di root (o del vostro utente, nel caso usiate sudo) ed essa apparirà in chiaro sul terminale:
kpackage(6605) kpPty::startSession: H= "" PH= "miapassword" PT= true
A mio parere questo rappresenta un problema potenzialmente molto grave e facilmente sfruttabile da malintenzionati per ottenere la password.
Ho riscontrato un possibile baco di sicurezza abbastanza grave in KPackage 4.0.3 (a proposito, è appena disponibile nei repository la versione 4.0.3 di KDE). Ho già provveduto a segnalarlo al team di KDE, di cui aspetterò il nulla osta prima di pubblicare i dettagli sul blog.