KDE-Konfiguration manipulierbar [Update]

Einem Bericht auf der Mailingliste Bugtraq zufolge sind bei manchen Linux-Distributionen globale KDE-Konfigurationsdateien mit falschen Zugriffsrechten versehen. Insbesondere die Datei kdeglobals ist bei SuSE 8.2 für jeden lokalen Benutzer beschreibbar. Damit kann ein Angreifer anderen KDE-Nutzern des Systems Konfigurationseinstellungen unterschieben und unter Umständen durch Autostart-Mechanismen sogar Programme mit dessen Rechten ausführen lassen.

heise Security konnte das Problem bisher nur auf einem SuSE-8.2-System verifizieren. Dort waren die Dateien

/etc/opt/kde3/share/config/kmailrc
/etc/opt/kde3/share/config/kioslaverc
/etc/opt/kde3/share/config/kdeglobals.SuSEconfig
/etc/opt/kde3/share/config/kdeglobals

für jederman beschreibbar. Globale Konfigurationsdateien mit Schreibrechten für alle Nutzer spürt das Kommando

find /etc -type f -perm +2

auf. Bisher ist uns kein Hersteller-Patch bekannt. Das Problem lässt sich jedoch durch den Befehl

chmod og-w /etc/opt/kde3/share/config/kdeglobals

für alle betroffenen Dateien einfach beheben.

Update
In einem soeben herausgegebenen Security-Advisory hat SuSE das Problem als noch offen eingestuft ("pending"). Der Fehler habe sich durch eine fehlende Synchronisierung während der Beta-Testphase eingeschlichen. Als Workaround empfiehlt SuSE die Dateirechte manuell in der Datei /etc/permissions.local folgendermaßen zu setzen:

/etc/opt/kde3/share/config/kmailrc     root.root 0644
/etc/opt/kde3/share/config/kioslaverc  root.root 0644
/etc/opt/kde3/share/config/kdeglobals  root.root 0644

und diese Einstellungen mit

chkstat -set /etc/permissions.local

zu aktivieren. (ju)