The remote host is affected by the vulnerability described in GLSA-202101-16 (KDE Connect: Denial of service)

    Multiple issues causing excessive resource consumption were found in KDE       Connect.
  Impact :

    An attacker could cause a possible Denial of Service condition.
  Workaround :

    There is no known workaround at this time.

Albert Astals Cid reports : KDE Project Security AdvisoryTitleKDE Connect: packet manipulation can be exploited in a Denial of Service attackRisk RatingImportantCVECVE-2020-26164Versionskdeconnect <= 20.08.1AuthorAlbert Vaca Cintora <albertvaka@gmail.com>Date2 October 2020Overview

An attacker on your local network could send maliciously crafted packets to other hosts running kdeconnect on the network, causing them to use large amounts of CPU, memory or network connections, which could be used in a Denial of Service attack within the network.

Impact

Computers that run kdeconnect are susceptible to DoS attacks from the local network.

Workaround

We advise you to stop KDE Connect when on untrusted networks like those on airports or conferences.

Since kdeconnect is dbus activated it is relatively hard to make sure it stays stopped so the brute force approach is to uninstall the kdeconnect package from your system and then run

kquitapp5 kdeconnectd

Just install the package again once you're back in a trusted network.

Solution

KDE Connect 20.08.2 patches several code paths that could result in a DoS.

You can apply these patches on top of 20.08.1 :

- https://invent.kde.org/network/kdeconnect-kde/-/commit/f183b5447bad476 55c21af87214579f03bf3a163

- https://invent.kde.org/network/kdeconnect-kde/-/commit/b279c52101d3f7c c30a26086d58de0b5f1c547fa

- https://invent.kde.org/network/kdeconnect-kde/-/commit/d35b88c1b25fe13 715f9170f18674d476ca9acdc

- https://invent.kde.org/network/kdeconnect-kde/-/commit/b496e66899e5bc9 547b6537a7f44ab44dd0aaf38

- https://invent.kde.org/network/kdeconnect-kde/-/commit/5310eae85dbdf92 fba30375238a2481f2e34943e

- https://invent.kde.org/network/kdeconnect-kde/-/commit/721ba9faafb79aa c73973410ee1dd3624ded97a5

- https://invent.kde.org/network/kdeconnect-kde/-/commit/ae58b9dec49c809 b85b5404cee17946116f8a706

- https://invent.kde.org/network/kdeconnect-kde/-/commit/66c768aa9e7fba3 0b119c8b801efd49ed1270b0a

- https://invent.kde.org/network/kdeconnect-kde/-/commit/85b691e40f525e2 2ca5cc4ebe79c361d71d7dc05

- https://invent.kde.org/network/kdeconnect-kde/-/commit/48180b46552d407 29a36b7431e97bbe2b5379306

Credits

Thanks Matthias Gerstner and the openSUSE security team for reporting the issue.

Thanks to Aleix Pol, Nicolas Fella and Albert Vaca Cintora for the patches.

This update for kdeconnect-kde fixes the following issues :

kdeconnect-kde was updated to fix various security issues in its default enabled network service (CVE-2020-26164, boo#1176268) :

このkdeconnect-kde用の更新プログラムでは、次の問題が修正されています：

kdeconnect-kdeが更新され、デフォルトで有効になっているネットワークサービスのさまざまなセキュリティ問題が修正されました（CVE-2020-26164、boo#1176268）：

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - In kdeconnect-kde (aka KDE Connect) before 20.08.2, an attacker on the local network could send crafted     packets that trigger use of large amounts of CPU, memory, or network connection slots, aka a Denial of     Service attack. (CVE-2020-26164)

Note that Nessus relies on the presence of the package as reported by the vendor.

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 20.08.2より前の kdeconnect-kde別名 KDE Connectでは、ローカルネットワークの攻撃者が、大量の CPU、メモリ、またはネットワーク接続スロットの使用を引き起こす細工されたパケットを送信する可能性があります別名DoS 攻撃サービス拒否攻撃。CVE-2020-26164

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - 在 20.08.2之前的 kdeconnect-kde (即 KDE Connect) 中本機網路上的攻擊者可傳送特製的封包觸發使用大量 CPU、記憶體或網路連線插槽這又稱為拒絕服務攻擊。 (CVE-2020-26164)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

Albert Astals Cid レポート：KDEプロジェクトセキュリティAdvisoryTitle Connect: パケット操作がサービス拒否攻撃で悪用される可能性。Risk RatingImportantCVECVE-2020-26164 Versionskdeconnect <= 20.08.1AuthorAlbert Vaca Cintora <albertvaka@gmail.com>Date2 2020年10月概要

ローカルネットワークの攻撃者が、悪意を持って細工されたパケットをネットワーク上でkdeconnectを実行している他のホストに送信し、ホストに大量のCPU、メモリ、またはネットワーク接続を使用させることで、ネットワーク内でのサービス拒否攻撃に使用される可能性があります。

影響

kdeconnectを実行するコンピューターは、ローカルネットワークからのDoS攻撃を受けやすくなっています。

回避策

空港や会議などの信頼できないネットワーク上では、KDE Connectを停止することをお勧めします。

kdeconnectはdbusアクティブ化されるため、停止したままにするのは比較的困難です。そのため、ブルートフォースのアプローチは、kdeconnectパッケージをシステムからアンインストールしてから実行することです

kquitapp5 kdeconnectd

信頼できるネットワークに戻ったら、再度パッケージをインストールしてください。

ソリューション

KDE Connect 20.08.2は、DoSを引き起こす可能性のあるいくつかのコードパスにパッチを適用します。

20.08.1の上にこれらのパッチを適用することができます: 

- https://invent.kde.org/network/kdeconnect-kde/-/commit/f183b5447bad476 55c21af87214579f03bf3a163

- https://invent.kde.org/network/kdeconnect-kde/-/commit/b279c52101d3f7c c30a26086d58de0b5f1c547fa

- https://invent.kde.org/network/kdeconnect-kde/-/commit/d35b88c1b25fe13 715f9170f18674d476ca9acdc

- https://invent.kde.org/network/kdeconnect-kde/-/commit/b496e66899e5bc9 547b6537a7f44ab44dd0aaf38

- https://invent.kde.org/network/kdeconnect-kde/-/commit/5310eae85dbdf92 fba30375238a2481f2e34943e

- https://invent.kde.org/network/kdeconnect-kde/-/commit/721ba9faafb79aa c73973410ee1dd3624ded97a5

- https://invent.kde.org/network/kdeconnect-kde/-/commit/ae58b9dec49c809 b85b5404cee17946116f8a706

- https://invent.kde.org/network/kdeconnect-kde/-/commit/66c768aa9e7fba3 0b119c8b801efd49ed1270b0a

- https://invent.kde.org/network/kdeconnect-kde/-/commit/85b691e40f525e2 2ca5cc4ebe79c361d71d7dc05

- https://invent.kde.org/network/kdeconnect-kde/-/commit/48180b46552d407 29a36b7431e97bbe2b5379306

情報

問題を報告してくれたMatthias Gerstner氏とopenSUSEセキュリティチームに感謝の意を表します。

パッチを提供してくれたAleix Pol氏、Nicolas Fella氏、Albert Vaca Cintora氏に感謝の意を表します。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在 20.08.2之前的 kdeconnect-kde又称为 KDE Connect中本地网络上的攻击者可以发送特制的数据包来触发使用大量 CPU、内存或网络连接插槽又称为拒绝服务攻击。 (CVE-2020-26164)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机受到 GLSA-202101-16 中所述漏洞的影响（KDE Connect：拒绝服务）

    在 KDE Connect 中发现多个导致过度消耗资源的问题。
  影响：

    攻击者可造成潜在的拒绝服务情况。
  变通方案：

    目前无任何已知的变通方案。

遠端主機受到 GLSA-202101-16 中所述的弱點影響 (KDE Connect：拒絕服務)

    在 KDE Connect 中發現多個導致資源過度消耗的問題。
  影響：

    攻擊者可能會造成拒絕服務情形。
  因應措施：

    目前尚無已知的因應措施。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
145296	GLSA-202101-16 : KDE Connect: Denial of service	Nessus	Gentoo Local Security Checks	2021/1/25	2024/1/26	medium
141149	FreeBSD : kdeconnect -- packet manipulation can be exploited in a Denial of Service attack (c71ed065-0600-11eb-8758-e0d55e2a8bf9)	Nessus	FreeBSD Local Security Checks	2020/10/5	2024/2/16	medium
141294	openSUSE Security Update : kdeconnect-kde (openSUSE-2020-1631)	Nessus	SuSE Local Security Checks	2020/10/8	2024/2/16	medium
141294	openSUSEセキュリティ更新プログラム：kdeconnect-kde（openSUSE-2020-1631）	Nessus	SuSE Local Security Checks	2020/10/8	2024/2/16	medium
256150	Linux Distros Unpatched Vulnerability : CVE-2020-26164	Nessus	Misc.	2025/8/27	2025/8/27	medium
256150	Linux Distros のパッチ未適用の脆弱性: CVE-2020-26164	Nessus	Misc.	2025/8/27	2025/8/27	medium
256150	Linux Distros 未修補的弱點：CVE-2020-26164	Nessus	Misc.	2025/8/27	2025/8/27	medium
141149	FreeBSD：kdeconnect -- パケット操作がサービス拒否攻撃に悪用される可能性があります（c71ed065-0600-11eb-8758-e0d55e2a8bf9）	Nessus	FreeBSD Local Security Checks	2020/10/5	2024/2/16	medium
256150	Linux Distros 未修补的漏洞：CVE-2020-26164	Nessus	Misc.	2025/8/27	2025/8/27	medium
145296	GLSA-202101-16 : KDE Connect：拒绝服务	Nessus	Gentoo Local Security Checks	2021/1/25	2024/1/26	medium
145296	GLSA-202101-16：KDE Connect：拒絕服務	Nessus	Gentoo Local Security Checks	2021/1/25	2024/1/26	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium