LINUX.ORG.RU

Критическая уязвимость в Xorg 1.11

 ,


0

2

В версиях Xorg 1.11 и выше была обнаружена критическая уязвимость, которая позволяет не зная пароля разблокировать систему при помощи комбинаций клавиш Ctrl + Alt + * (которая на NumPad'е). Данная комбинация предназначена для убивания приложения, которое захватило экран.

В настоящий момент эта версия Xorg используется в некоторых новых дистрибутивах, в том числе Fedora 16 и ArchLinux.

>>> Подробности



Проверено: maxcom ()
Последнее исправление: maxcom (всего исправлений: 3)

Решето все решет

anonymous
()
Ответ на: комментарий от ms-dos32

блин вас теперь и в школу то не поотправляешь.. подсмотрим у китайцев? угумс.. всех расстрелять!

anonymous
()
Ответ на: комментарий от Quasar

Это исключительно вина мейнтейнеров-мудаков, которые чейнджлоги не читают.

Вот не надо про майнтайнеров.

Когда делаешь ./configure && make && make install дебажные фичи включаться не должны.

--enable-debug обычно делают у configure. Так что облажалась команда Xorg.

sergej ★★★★★
()
Ответ на: комментарий от anonymous

Как минимум 2 пунктуационные ошибки в сообщении. Кому тут надо в школу?

ms-dos32
()
Ответ на: комментарий от Quasar

возможность, которая отключается.

Тогда возвращается проблема, что приложение захватило ввод и не отдает.

cvs-255 ★★★★★
()
Ответ на: комментарий от cvs-255

Эту проблему можно решить, введя список окон, которым позволено захватывать ввод, и ограничить доступ к нему с помощью selinux, чтобы приложение не могло вписать туда себя

cvs-255 ★★★★★
()
Ответ на: комментарий от ms-dos32

Это вы еще недостатка логики не видели

Это типа: «а я еще не такое выдать могу!» ?

rmammoth
()
Ответ на: комментарий от ms-dos32

перепалка зашла в тупик

Это не перепалка, я против вас ничего не имею. :-) Томагавк войны давно сгнил в земле.

Axon ★★★★★
()
Ответ на: комментарий от ms-dos32

В ДНКмозгах это баг, перепрошить надо.

Молодец, все правильно понял. Вперед, на перепрошивку! Вернешься, пообщаемся. ;)

rmammoth
()

пипек! я если нажать и подержать кнопку ВКЛ/ВыКЛ на чужом компе или ноуте можно его поиметь!

БАГ в иксах! я кулхацкер!

fuxter
()

В IceWM лечится добавлением в ~/.icewm/startup строчек

xmodmap -e "keycode 63 = KP_Multiply NoSymbol KP_Multiply NoSymbol"
xmodmap -e "keycode 106 = KP_Divide NoSymbol KP_Divide NoSymbol"
// спер на хабрятине

Eddy_Em ☆☆☆☆☆
()

У меня чет не работает. Для особо одаренных можно гайд?

Вышел из системы, нажал Ctrl+Alt+* что на нумпаде — войти не смог.

Xorg-1.11.3

partyzan ★★★
()
Ответ на: комментарий от partyzan

Вышел из системы

Надо просто заблокировать экран. Это сочетание (ctrl+alt+* или ctrl+alt+/) убивает заблокировавшее экран приложение. С одной стороны - удобно, т.к. всякие подвисшие игрульки можно мочить; с другой - оно и xscreensaver убивает.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от wintrolls

Вообще-то, есть люди, которые иксами не пользуются, а компилируют все графические приложения под фреймбуфер. И, ЕМНИП, для фреймбуфера даже оконный менеджер есть.

Eddy_Em ☆☆☆☆☆
()

печально. F16 - работает.

но это всё частности бОльшей проблемы - реализации графического терминала в линаксах. сетевая прозрачность иксов - это, конечно, круто. вот для этого бы их (иксы) и оставить. остальное - похоже, дико устарело.

anonymous
()
Ответ на: комментарий от Eddy_Em

Надо просто заблокировать экран. Это сочетание (ctrl+alt+* или ctrl+alt+/) убивает заблокировавшее экран приложение.

Спасибо, теперь понятно. У меня такого нет, если надо заблокировать, то просто выхожу из системы.

partyzan ★★★
()
Ответ на: комментарий от partyzan

Спасибо, теперь понятно. У меня такого нет, если надо заблокировать, то просто выхожу из системы.

сурово.

anonymous
()

по приведенной ссылке в дискуссии таки ставится вопрос - поскольку это фича вообще говоря не нова, то не виноваты ли авторы скринсейверов, просто забившие на то, чтобы учесть возможность активации этой фишки?

anonymous
()

Что я под Windows, там такой позор исправили после Windows 95.

anonymous
()
Ответ на: комментарий от partyzan

Дома это еще ладно, а на работе как? Восстанавливать 100500 окон каждый раз?

А не блокировать чревато: мало ли, уборщица тряпкой по клавиатуре шваркнет...

Eddy_Em ☆☆☆☆☆
()

арчепроблемки арчепроблемушки.

фичу за vulnerable принять.

отсыпь и мне такой забористой травы!!!111

havelite
()

Критическая уязвимость в Xorg

Галактеко в опасносте! Мы все умрем Все теперь могут увидеть какую порнуху смотрим, нажав одну комбинацию на локскрине. Катастрофа!

в том числе Fedora 16

Значит меня не касается, почти

[nexfwall@LenovoS10-20027 ~]$ cat /etc/fedora-release
Fedora release 14 (Laughlin)
Хехехе

nexfwall ★★★★
()

Ыыы, гениально, в моей генте с самым свежим софтом - отлично работает. Ыыыыы...

wolfy
()
Ответ на: комментарий от anonymous

сурово.

У меня Openbox и собственно не хочется ставить какой то софт для блокировки системы, тем более которой я ни разу в жизни не пользовался. Комп домашний и лочить там не от кого. Ну а если вдруг понадобится, выйду из системы, тем более что разницы где набирать пароль в slim'е или в иксовом локере разницы нет.

partyzan ★★★
()
Ответ на: комментарий от Pakostnik

Дык есть клавы и без него, полно. У меня например нету(прикручен с помощью Fn производителями, ноутбукоклава)

nexfwall ★★★★
()
Ответ на: комментарий от ArtKun

которые во всяких арчиках федорках

Сюда прилетают обновления безопасности о которых еще даже не знают в федорке и уж тем более в арчике.

потому что на баги в Stable в багзилле забивают

Вранье.

Polugnom ★★★★★
()

Тут в топике многие не понимают зачем вообще нужна блокировка. Вот я, например, пользуюсь ей на ноутбуке - закрыл крышку и пошёл делать свои дела. Если кто-нибудь её откроет, то с него спросят пароль. Кроме того в Ubuntu, кажется, по-умолчанию так сделано.

akfeerus
() автор топика

Заблокировал экран с xlock.
Alt+Ctl+* не разблокировала ничего.
У меня Xorg-server 1.7.7

X.Org X Server 1.7.7
Release Date: 2010-05-04
X Protocol Version 11, Revision 0
Build Operating System: FreeBSD 9.0-RELEASE i386
Current Operating System: FreeBSD fbsd.workstation.net 9.0-RELEASE FreeBSD 9.0-R
ELEASE #0: Fri Jan 13 23:05:55 EET 2012 root@fbsd.workstation.net:/usr/obj/u
sr/src/sys/FREEBSD i386
Build Date: 07 January 2012 12:28:23AM

JJackFLASH ★★
()
Ответ на: комментарий от nexfwall

Значит меня не касается, почти

[nexfwall@LenovoS10-20027 ~]$ cat /etc/fedora-release

Fedora release 14 (Laughlin)

Торвальдс стебается а ты ведёшься? или слоупок? :) Тогда уж лучше дебиан стабильный бы...

Pakostnik ★★★
()
Ответ на: комментарий от JJackFLASH

X.Org X Server 1.7.7

Критическая уязвимость в Xorg 1.11

akfeerus
() автор топика
Ответ на: комментарий от Eddy_Em

Дома это еще ладно, а на работе как? Восстанавливать 100500 окон каждый раз?

А не блокировать чревато: мало ли, уборщица тряпкой по клавиатуре шваркнет..

Согласен, а я и не кричал «не нужно». На работе это _надо_ делать, а дома по собственному усмотрению.

partyzan ★★★
()
Ответ на: комментарий от nexfwall

Дык есть клавы и без него, полно.

Где?? Хочу!! Скажи хоть модель, плз!.. Только не ноутбуковскую, где все кнопки вкуче, а нормальную десктопную, но без нумпад.

Pakostnik ★★★
()
Ответ на: комментарий от stack_protector

ты не плачь. тыж большинство. большинства не плачут. станешь умнее - прочти снова.авось поймешь (оооочень сильно сомневаюсь.ну да ладно.все равно пофиг)

skai-falkorr
()
Ответ на: комментарий от Polugnom

о которых еще даже не знают в федорке и уж тем более в арчике

Так они уже в апстриме самих программ давно исправлены.

Вранье

а сколько еще должен висеть баг с хриплым звуком в TuxGuitar, нерабочим звуком с Flash (в связке с пульсом), нерабочим без шаманства FluidSynth, кривым и пропадающим апплетом яркости экрана GNOME...? Только сходу вспомнил. Потому что опять же, это все исправлено уже в 10.10, а некоторые даже в 10.04.

ArtKun ★★★★★
()

Я тебе больше даже скажу — ты можешь сделать Ctrl+Alt+F1 и убить иксы к черту через ctrl+c. И получить доступ к сессии. А ещё ребутнуть машину и прописать init=/bin/sh в grub, если он не запаролен и разделы на харде не в luks контейнере (а чаще всего так и есть). А ещё... да впринципе этого за глаза хватает. Ещё можно вставить флэшку, ребутнутся и сдампить нужную дату тупо примонтировав хард.

Запомните, мальчики и девочки — если есть физический доступ к железке, её как-нибудь да изнасилуют.

anonymous
()

Fedora 16, GNOME, обновления неделю не ставил - не работает.

ArtKun ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.