威讯云桌面

安装教程

已知问题

内包 sudo 配置存在严重安全漏洞

前言

考虑到该问题描述的是一个严重的安全漏洞，请先运行如下命令移除该软件中包含的后门程序：

sudo rm -v /usr/bin/AppPublishUpgrader.sh
sudo rm -v /etc/sudoers.d/26_apppublishupgrade

分析报告

我们在安装威讯云桌面后运行 sudo 命令提权时，发现终端有如下报错：

sudo: /etc/sudoers.d/26_apppublishupgrade 属于用户 ID 1000，应为 0

在查看其内容时，发现该配置定义所有用户均可使用 /usr/bin/AppPublishUpgrader.sh 无密码提权：

%sudo  ALL=(ALL) NOPASSWD:/usr/bin/AppPublishUpgrader.sh,(ALL) NOPASSWD:/usr/bin/AppPublishUpgrader.sh

我们查阅 /usr/bin/AppPublishUpgrader.sh 内容时惊恐地发现，该文件其实是 dpkg 包管理“安装软件包”(dpkg -i) 命令的包装：

#!/bin/bash
dpkg -i "$@"

这样的设计是极为危险和不负责任的，这无异于在用户电脑上安装了一个提权后门，在使用 dpkg 管理软件包的系统上，这意味着任何用户都可以随意安装软件包！

比起这个问题，在一开始描述的 sudoers.d 配置文件的权限错误不值一提，开发商只需按提示调整其所有者即可。但不论是为了更新软件还是安装附加包，这样的做法都是绝对错误甚至在有意或无意中将用户置身与极大的危险之中，应立即整改！

内包 GLib 库可能导致启动失败

威讯云桌面内包的 GLib 库 (libgmodule) 与系统库存在兼容问题，可能启动失败。终端启动时报告如下问题：

/opt/apps/com.centerm.weixunclient/files/linuxclient/weixunclientApp: symbol lookup error: /usr/lib/libgio-2.0.so.0: undefined symbol: g_module_open_full

遇到该问题时，运行如下命令删除内包 GLib 库：

sudo rm -v /opt/apps/com.centerm.weixunclient/files/lib/libgmodule-2.0.so.0

随后安装系统 GLib 库即可。AOSC OS 下，可运行如下命令安装 GLib：

oma install glib