Ecco il bug
Venerdì, 18 Aprile 2008Non avendo ricevuto alcuna risposta dal team KDE Security (il che è strano, data la solita celerità delle comunità di sviluppo open-source), ho deciso di pubblicare il bug di sicurezza che ho riscontrato in KPackage, nel caso qualche sviluppatore KDE si imbattesse in questa pagina.
È possibile verificare il bug avviando kpackage (versione 4.0.3) da terminale:
utente @ macchina ~ $ /usr/lib/kde4/bin/kpackage
Successivamente, è sufficiente mettere il segno di spunta su Ricorda la password, inserire la password di root (o del vostro utente, nel caso usiate sudo) ed essa apparirà in chiaro sul terminale:
kpackage(6605) kpPty::startSession: H= "" PH= "miapassword" PT= true
A mio parere questo rappresenta un problema potenzialmente molto grave e facilmente sfruttabile da malintenzionati per ottenere la password.