LINUX.ORG.RU
ФорумTalks

[opennet][решето]Уязвимость, позволяющая обойти парольную защиту хранителя экрана GNOME

 ,


0

0

В хранителе экрана GNOME, входящем в комплект последних версий openSUSE, обнаружена уязвимость, позволяющая выйти из режима блокировки экрана без ввода корректного пароля. Тесты подтвердили, что попасть в заблокированное рабочее окружение GNOME можно просто нажав и удерживая в течение нескольких секунд клавишу Enter, что приводит к краху хранителя экрана (gnome-screensaver-2.28.0-2.3) и снятию обеспечиваемой им защиты.

В декабре подобная проблема не раз сообщалась пользователями Ubuntu и Fedora, после чего была без особой огласки устранена в данных дистрибутивах. Уязвимость связана с ошибкой в реализации функции dk_window_begin_implicit_paint() из состава GTK+, которая иногда приводит к попыткам отрисовки в несуществующем окне, что приводит к краху.

Пользователям openSUSE рекомендуется вручную установить обновленную версию пакета gnome-screensaver-2.28.0-2.4.1 (i586, x86_64), пока доступную только в тестовом репозитории openSUSE.

Дополнение: Версия gnome-screensaver-2.28.0-2.4.1 уже доступна через стандартный механизм обновлений, но по утверждению представителей SUSE Security Team не устраняет вышеописанную проблему, которую удается повторить не на всех системах. Исправление присутствует в git-репозитории проекта GNOME и доступно только для выпуска GNOME 2.28.1, пакет с которым пока не доступен для openSUSE.

http://www.opennet.ru/opennews/art.shtml?num=25393

Ждем коментарии второго мужика по этому поводу =))

>Ждем коментариев психоаналитика господина второго мужика по этому поводу =))

фиксед

Alex_A_V ★★
()

Ну боян же уже , и что ?))
http://www.linux.org.ru/forum/talks/4549783?lastmod=1266057148848#comment-455...

http://packages.debian.org/changelogs/pool/main/g/gnome-screensaver/gnome-scr...
gnome-screensaver (2.28.2-1) unstable; urgency=low

* New upstream bugfix release.
- CVE-2010-0414, handle monitor removal more securely. Closes: #569084.
- debian/patches/01_session_inhibitors.patch:
+ Removed, fixed upstream.
* Standards-Version is 3.8.4, no changes needed.
 -- Emilio Pozuelo Monfort <pochu@debian.org>  Wed, 10 Feb 2010 09:59:34 +0100

А kde-детки уписялись от радости с позданием ))

elipse ★★★
()

> обойти парольную защиту хранителя экрана GNOME

Вообще, защита от лиц, имеющих прямой доступ к компьютеру - это смешно. Как и уязвимости в ней.

Вот куда больше напрягает в убунте проблема, при которой эта самая блокировка иногда не снимается (поле ввода пароля почему-то не появляется) - приходитя логинится в консоли и прибивать gnome-screensaver

Nixopatolog
()
Ответ на: комментарий от Nixopatolog

>при которой эта самая блокировка иногда не снимается
Ни разу не видел что то такого

anotheranonymous
()
Ответ на: комментарий от elipse

>А kde-детки уписялись от радости с позданием ))
Посмотрим, как они будут ссаться от того, когда клизмоиды начнут падать в их залоченном скринсейвере, они же уже там есть.

anotheranonymous
()
Ответ на: комментарий от Nixopatolog

>при которой эта самая блокировка иногда не снимается
это из-за раскладки, она переключается, но это не отражается на экране сейвера, но багрепорт делать лень

dimon555 ★★★★★
()
Ответ на: комментарий от anotheranonymous

>Посмотрим, как они будут ссаться от того, когда клизмоиды начнут падать в их залоченном скринсейвере, они же уже там есть.

Ты все врешь! Плазмоиды не падают! По крайней мере с утра не упали ни разу...

Alex_A_V ★★
()

Вот ещё один показатель качества кода в гнуме.

AX ★★★★★
()
Ответ на: комментарий от Nixopatolog

>Вообще, защита от лиц, имеющих прямой доступ к компьютеру - это смешно.
Совсем не смешно. Иногда физический доступ не означает возможность ковыряться в железе. А ещё иногда время этого доступа строго ограничено.

Ramen ★★★★
()
Ответ на: комментарий от dimon555

это из-за раскладки, она переключается, но это не отражается на экране сейвера


Это не баг а фича, скорее, просто настрой отображение раскладки светоиндикатором клавиатуры, например капслока. Т.е. может и баг, но несущественный, в отличии от краха скринсейвера.

Меня вот другой глюк раздражает - rdesktop когда глючит, вот тогда ввод с клавы блочится порой, приходится в консоль - и там его прибивать, ну и вообще он какой то кривоватый децл, местами.

anonizmus
()

> просто нажав и удерживая в течение нескольких секунд клавишу Enter,

И сколько минут так надо держать?

У меня терпения не хватило.

sin_a ★★★★★
()
Ответ на: комментарий от dimon555

> это из-за раскладки, она переключается, но это не отражается на экране сейвера,

Что-то здесь гонят как сегодня.

Вообще-то у гнома как раз у первого при авторизации разблокирования появилась информация о раскладке.

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

Кстати точно, есть, а я даж не замечал, на светодиод смотреть видать привычка выработалась годами )

anonizmus
()
Ответ на: комментарий от sin_a

>Вообще-то у гнома как раз у первого при авторизации разблокирования появилась информация о раскладке.
на моей 8.04.4 бубунте раскладка на гномосейвере не работает прямо сейчас

dimon555 ★★★★★
()
Ответ на: комментарий от Nixopatolog

>защита от лиц, имеющих прямой доступ к компьютеру - это смешно.

Так почему же ты ей пользуешься?

thesis ★★★★★
()
Ответ на: комментарий от dimon555

посмотрел и гномоаплет не отражает и led не работает ибо ноут, да и фиг с ним

dimon555 ★★★★★
()
Ответ на: комментарий от dimon555

> это из-за раскладки, она переключается

Нет, проблема в другом - само окно ввода иногда не появляется

Nixopatolog
()
Ответ на: комментарий от Ramen

> Иногда физический доступ не означает возможность ковыряться в железе

А иногда ковыряться в железе и не требуется - в большинстве десктопных дистров есть возможность получить рутовые права, перезагрузившись, и выбрав в GRUB single mode

Nixopatolog
()
Ответ на: комментарий от Nixopatolog

Ну, разумеется, есть варианты с шифрованием разделов и подобными изощрениями, которые так просто не обойти.

Nixopatolog
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.