Micetto Nero

Non avendo ricevuto alcuna risposta dal team KDE Security (il che è strano, data la solita celerità delle comunità di sviluppo open-source), ho deciso di pubblicare il bug di sicurezza che ho riscontrato in KPackage, nel caso qualche sviluppatore KDE si imbattesse in questa pagina.

È possibile verificare il bug avviando kpackage (versione 4.0.3) da terminale:

utente @ macchina ~ $ /usr/lib/kde4/bin/kpackage

Successivamente, è sufficiente mettere il segno di spunta su Ricorda la password, inserire la password di root (o del vostro utente, nel caso usiate sudo) ed essa apparirà in chiaro sul terminale:

kpackage(6605) kpPty::startSession: H= "" PH= "miapassword" PT= true

A mio parere questo rappresenta un problema potenzialmente molto grave e facilmente sfruttabile da malintenzionati per ottenere la password.

Ho riscontrato un possibile baco di sicurezza abbastanza grave in KPackage 4.0.3 (a proposito, è appena disponibile nei repository la versione 4.0.3 di KDE). Ho già provveduto a segnalarlo al team di KDE, di cui aspetterò il nulla osta prima di pubblicare i dettagli sul blog.

Premessa: questa non vuole essere una critica, bensì solo un elenco dei bug più fastidiosi ed evidenti di KDE 4.0.2.

• il compositing di kwin non funziona con la mia ATI (col tanto bistrattato Compiz non ho problemi)
• KDE e GNOME convivono male (se avvio KDE si avviano anche alcuni programmi di GNOME)
• kwallet non funziona
• la ZUI non è ancora pronta
• mancano due killer application come Amarok e Akregator
• Il menù attuale è poco funzionale
• Plasma è instabile
• Kopete ha qualche bug fastidioso (gli avvisi compaiono in alto e non è possibile modificare la posizione)
• KPackage non funziona (mi chiede in continuazione la password)
• le cartelle vengono aperte con Konqueror e non con Dolphin