Для пользователей Ubuntu 14.04 LTS выпущено (http://www.ubuntu.com/usn/usn-2475-1/) обновление пакета gtk+3.0 (https://launchpad.net/ubuntu/+source/gtk+3.0) (3.10.8-0ubuntu1.4 (https://launchpad.net/ubuntu/+source/gtk+3.0/3.10.8-0ubuntu1.4)), в котором устранена ошибка, которую можно использовать (https://bugs.launchpad.net/ubuntu/+source/gtk+3.0/+bug/13667...) для получения доступа к заблокированному сеансу пользователя без ввода пароля. Проблема продолжает серию (http://www.opennet.me/opennews/art.shtml?num=40328) выявленных (http://www.opennet.me/opennews/art.shtml?num=39685) в прошлом году уязвимостей, вызванных некорректной обработкой клавиатурных событий во время блокирования экрана.
На этот раз блокировку можно обойти из-за некорректной обработки нажатия клавиши "меню" в GTK+ - достаточно успеть нажать клавишу "меню" до появления приглашения ввода пароля в gnome-screensaver или cinnamon-screensaver, после чего ввод будет перенаправляться в приложение, окно которого было активно до блокировки экрана. Проблема не специфична для Ubuntu и может проявляться в других системах, использующих gnome-screensaver или cinnamon-screensaver. Для GTK+ исправление было представлено (https://mail.gnome.org/archives/commits-list/2014-January/ms...) ещё в январе прошлого года и было в августе применено для пакетов Debian (https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=759145) и Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1064695). В Ubuntu 14.10 поставляется пакет с не подверженной уязвимости версией GTK+.
URL: http://www.ubuntu.com/usn/usn-2475-1/
Новость: http://www.opennet.me/opennews/art.shtml?num=41486
Какие-то детские проблемы, ЖУТЬ.
Ну ИМХО проблемы, как проблемы, вполне себе обычные, а вот тестированием мало кто/никто не занимался - это таки да.
не так уж и мало, просто гномовские проблемы туго решают... Например с тем же блокировщиком Bug 1307163 gnome-screensaver-command не работает с 2014-04-13... Так что гномоводам нужно тестить больше, а не системд во все гномощели совать (это так, к слову)...
> не так уж и мало, просто гномовские проблемы туго решают... Например с тем же блокировщиком Bug 1307163 gnome-screensaver-command не работает с 2014-04-13... Так что гномоводам нужно тестить больше, а не системд во все гномощели совать (это так, к слову)...Судя по тому, что сабжевую дыру в гноме закрыли больше года назад - по части тормозов гномоводы просто дети по сравнению с профессионалами из каноникла.
> Ну ИМХО проблемы, как проблемы, вполне себе обычные, а вот тестированием мало
> кто/никто не занимался - это таки да.2-е место в дистровотч по количеству тестеров. Просто, как всегда, количество маркетологов на нормального технаря зашкаливает.
Приветы из прошлого века. Баг с блокировкой экрана в windows-98.
Существовали люди, которые пользовались блокировкой экрана в Windows 98?
> Приветы из прошлого века. Баг с блокировкой экрана в windows-98.Там всё запущеннее было - по Esc заходили в систему, если пароль был неизвестен.
http://www.jwz.org/xscreensaver/faq.html#toolkits
Объясните дураку, который никогда не писал заставки для линукса — чо за хрень? Почему у винды нету таких проблем с экраном блокировки, а у иксов есть?
Потому что у иксов продуманная архитектура.
http://i.imgur.com/fqjnK.gif есть
просто меньше нужно функционала напихивать в блокировщик
опятьже в винде помнится мне был вариант IE засунуть как заставку в 98, актив десктоп и все такое
не думаю что там все сильно безопасно
В винде раньше, было дело, вирусяки любили прописывать свои исполняемые файлы как скринсейверы.
Как там сейчас - не знаю, живую винду вижу крайне редко.
Они есть, ровно те же самые. Тут уже показали гифчик для 98й винды, но в Windows 8 можно сделать почи тоже самое: на экране ввода пароля в левом нижнем углу есть кнопка "Специальные возможности", из которой открывается меню запуска экранной клавиатуры, экранной лупы и т.п. По сути данная кнопка вызывает программу Utilman.exe, которую можно, загрузившись с любого лайв-сиди, удалить и её именем назвать cmd.exe, тогда при нажатии на экране ввода пароля в Windows 8 на кнупку специальных возможностей откроется коммандная строка с админскими правами. Дайте из неё команду net user <имя, которое вы и так видите на экране, просящее пароль> <новый пароль> - всё, логинимся под новым паролем и делаем что надо. Эти проблемы старые как мир, и очень часто я крайне рад, что они есть, без них было бы трудно.
В новости проблема не в том, что можно подменить блокировщик экрана или что-то, что он дергает, а в том, что он нихрена не блокирует. Вопрос — почему так получается?
Как уже отметили выше в иксов продуманная "архитектура".В рамках этой "архитектуры" блокировщик экрана это окно, просто окно и не более того. Всю работу по блокировке экрана (т.е. перехват ввода, предотвращение закрытия своих окон и тому подобные муторные вещи) блокировщик должен делать сам, БЕЗ ПОМОЩИ X-СЕРВЕРА. Потому и любая проблема в самом ли блокировщике или в тулките его может привести к презабавнейшим проблемам безопасности.
> В рамках этой "архитектуры" блокировщик экрана это окно, просто окно и не
> более того. Всю работу по блокировке экрана (т.е. перехват ввода, предотвращение
> закрытия своих окон и тому подобные муторные вещи) блокировщик должен делать
> сам, БЕЗ ПОМОЩИ X-СЕРВЕРА. Потому и любая проблема в самом ли
> блокировщике или в тулките его может привести к презабавнейшим проблемам безопасности.Wayland придет - порядок наведет!
> Wayland придет - порядок наведет!Mir придет - мир во всем мире наведет!
> ... блокировщик экрана это окно, просто окно и не более того. Всю работу по блокировке экрана (т.е. перехват ввода, предотвращение закрытия своих окон и тому подобные муторные вещи) блокировщик должен делать сам, БЕЗ ПОМОЩИ X-СЕРВЕРА.А что Вам не нравится? Мухи отдельно, котлеты отдельно...
Если Ваша муха летает плохо, причем здесь котлета? :)
Люди отдельно, мозги отдельно.
Соболезнуем...
Проходите гражданин, по понедельникам не подаем.
Люди оснащенные мозгами, могут представить каким кластерфаком приходиться заниматься для блокировки экрана в иксах, почитав здесь (особенно доставляет вопрос номер 11, а также 17 и 24)http://www.jwz.org/xscreensaver/faq.html
а вот здесь написано как это делают в kde:
http://blog.martin-graesslin.com/blog/2014/05/screenlocker-a.../
цитата:
"To explain the first problem we must remember that X11 is very bad from a security point of view. ... Though given the general problems of X11 it will never be possible to completely solve these two problems on X11."
> Люди оснащенные мозгами, могут представить каким кластерфаком приходиться заниматься для блокировки экрана в иксах...Тебя удивляет, что для того, чтобы что-то делать хорошо, нужно иметь необходимый уровень компетенции?
> ...вопрос номер 11, а также 17 и 24...Особенно умиляет номер 17 с перечислением "страшных бэкдоров". В нормально собранном дистрибутиве использование этих "бэкдоров" просто приведет в выбрасыванию на Login screen (окно авторизации) непосредственно или через перезагрузку. Выход в TTY также запрашивает пароль. А так - страшно, да. "Бэкдоры" ведь!
> Тебя удивляет, что для того, чтобы что-то делать хорошо, нужно иметь необходимый уровень компетенции?В данном случае "необходимый" уровень компетенции обусловлен исключительно идиотизмом архитектуры X11.
> Особенно умиляет номер 17 с перечислением "страшных бэкдоров".
Вы лучше 11 прокомментируйте, мякотка-то там.
> Вы лучше 11 прокомментируйте, мякотка-то там.Комментирую.
"Some window managers allow programs to pop windows above xscreensaver, and some do not."
Так и используйте те оконные менеджеры, которые не позволяют этого.
Всё. :)
> А что Вам не нравится? Мухи отдельно, котлеты отдельно...
> Если Ваша муха летает плохо, причем здесь котлета? :)При том, что иксы^Wкотлета позиционируется в качестве полноценного дисплейного серв^W^W^Wважного компонента мухи.
Вы опять их смешали! :)
Так это что, скринсейвер в иксах работает по принципу винлокера?
Если можно загрузиться с LiveCD (LiveUSB), то по факту система не защищена. А тут рассмотрена совершенно другая проблема.
В том то и дело, что проблема _физического_ доступа к компьютеру не может быть радикально решена _софтом_ в принципе.
> В том то и дело, что проблема _физического_ доступа к компьютеру не
> может быть радикально решена _софтом_ в принципе.Физический доступ - понятие растяжимое. Слышал легенду про BadUSB? А у нее есть продолжение: возможно подломить usb 3G свисток. И сделать чтобы он прикинулся клавиатурой. USB - он универсальный, фигли. Так "физический" доступ может стать весьма и весьма ремотным.
Наверно это единственный простой способ, чтобы сбросить пароль рута локального под виндой. В 8/2012 уже не прокатывает.
>[оверквотинг удален]
> экране ввода пароля в левом нижнем углу есть кнопка "Специальные возможности",
> из которой открывается меню запуска экранной клавиатуры, экранной лупы и т.п.
> По сути данная кнопка вызывает программу Utilman.exe, которую можно, загрузившись с
> любого лайв-сиди, удалить и её именем назвать cmd.exe, тогда при нажатии
> на экране ввода пароля в Windows 8 на кнупку специальных возможностей
> откроется коммандная строка с админскими правами. Дайте из неё команду net
> user <имя, которое вы и так видите на экране, просящее пароль>
> <новый пароль> - всё, логинимся под новым паролем и делаем что
> надо. Эти проблемы старые как мир, и очень часто я крайне
> рад, что они есть, без них было бы трудно.А при чём здесь блокировщик экрана? Если вы со своим ЦД уже всё что пожелаете можете удалять, изменять. Если... >:-)
Все просто, точнее в виде не требуется даже блокировать, чтобы ее испортить, взломать и т.п. там есть другие пути, которых еще не открыли в линуксе, т.к. в им пользуется слишком мало людей (я про десктоп). Следствие, как только линукс станет стольже популярен как винда его будут ломать, заражать вирусами и т.п. не сомнивайтесь, именно так и будет. А самыми вирусо устойчивыми и стабильными (от сбоев и дур) будут реактОС и КалбриОС.
А самыми вирусо устойчивыми и стабильными (от сбоев и дур) будут реактОС...
/0
Опять студни со старой методичкой!
Линукс-сервера уже давно в большинстве. Каждый из них при взломе или заражении выгоднее для хакера, чем сотни хомячковых машин на Винде. Однако ботнеты по-прежнему в основном состоят из тех машин, а не из тех серверов.
Когда находились дыры в ПО на серверах - они эксплуатировались почем зря, между прочим.
Сапиенти сат.
> Объясните дураку, который никогда не писал заставки для линукса — чо за хрень? Почему у винды нету таких проблем с экраном блокировки, а у иксов есть?Много таких уязвимостей нашли у slock? Просто нужно один раз включить мозг и выбрать для себя разумный вариант (из кучи всевозможных альтернатив).
> Много таких уязвимостей нашли у slock? Просто нужно один раз включить мозг
> и выбрать для себя разумный вариант (из кучи всевозможных альтернатив).Когда его начнут использовать более чем полтора анонимуса, найдут обязательно.
"Тут всю систему менять надо"
>> Много таких уязвимостей нашли у slock? Просто нужно один раз включить мозг
>> и выбрать для себя разумный вариант (из кучи всевозможных альтернатив).
> Когда его начнут использовать более чем полтора анонимуса, найдут обязательно.1. Его уже использует больше, чем «полтора анонимуса».
Данные с ftp.ru.debian.org:$ zgrep -c suckless-tools vsftpd.log.* | awk -F ':' 'BEGIN{count=0} {count+=$2} END{print count}'
36
$ zgrep -c chromium vsftpd.log.* | awk -F ':' 'BEGIN{count=0} {count+=$2} END{print count}'
456
$ zgrep -c tmux vsftpd.log.* | awk -F ':' 'BEGIN{count=0} {count+=$2} END{print count}'
59
2. В нём порядками меньше поверхность для атаки, чем в gtk-3 и в ПО на нём основанном.$ wc -l slock.c
290 slock.c3. И это далеко не единственный пример. Например, много ли таких уязвимостей было обнаружено в том же xscreensaver-е [1]? А также как давно была обнаружена последняя уязвимость из известных?
[1] http://www.cvedetails.com/vulnerability-list/vendor_id-1861/...
Если будешь выбирать свистелки-перделки вместо реального функционала, то будешь получать subj-и.
А для тех, кто доверяет Google-у, есть например http://www.opennet.me/opennews/art.shtml?num=40086
В общем, по пользователям subj-а — классический случай ССЗБ и только-то.
> 1. Его уже использует больше, чем «полтора анонимуса».
> 2. В нём порядками меньше поверхность для атаки, чем в gtk-3.
>$ wc -l slock.c
> 290 slock.cОбъектом атаки в данном случае является не только блокировщик, но также иксы и запущенные графические приложения. Задача блокировщика - по-максимуму подстелить соломку и перехватить все, что возможно.
Так что здесь все наоборот - чем меньше кода, тем _больше_ поверхность для атаки.
>> 1. Его уже использует больше, чем «полтора анонимуса».
>> 2. В нём порядками меньше поверхность для атаки, чем в gtk-3.
>>$ wc -l slock.c
>> 290 slock.c
> Объектом атаки в данном случае является не только блокировщик, но также иксы
> и запущенные графические приложения. Задача блокировщика - по-максимуму подстелить соломку и перехватить все, что возможно.Как раз-таки в данном случае атака производилась на код не X-сервера [1].
[1] https://github.com/RavetcoFX/cinnamon-screensaver/commit/891...
Да и вообще, если почитать новость, то это и так становится очевидным.
> Так что здесь все наоборот - чем меньше кода, тем _больше_ поверхность
> для атаки.Код — это и есть поверхность для атаки (как подсказывает Кэп). А по поводу размера кода, требуемого для параноидальной блокировки (с точки зрения Google), можете посмотреть в тот же [2]. Чуть меньше чем тот монстр-файл в cinnamon-screensaver, в котором устраняли "уязвимость" очередным гвоздём, не так ли?
> Как раз-таки в данном случае атака производилась на код не X-сервераНевозможно атаковать то чего нет.
> Как раз-таки в данном случае атака производилась на код не X-сервера [1].Ага, а на тот код, который должен закрывать дыры в X-сервере. И что?
> Код — это и есть поверхность для атаки (как подсказывает Кэп).
В случае Linux/Unix, такой поверхностью является чуть ли не весь графический стек.
(За исключением Mac OS X, где иксы уже давно выкинуты.)
>> Как раз-таки в данном случае атака производилась на код не X-сервера [1].
> Ага, а на тот код, который должен закрывать дыры в X-сервере. И
> что?1. Дочитайте абзац (про "Код -- это и есть ...") до конца, пожалуйста.
2. Это была не дыра Xorg, а дыра самого screensaver-а. Посмотрите как делают другие locker-ы, там нет таких гвоздей, как пришлось делать в данном patch-е.
>> Код — это и есть поверхность для атаки (как подсказывает Кэп).
> В случае Linux/Unix, такой поверхностью является чуть ли не весь графический стек.Какой ужас! Мы все умрем! :-(
> В случае Linux/Unix, такой поверхностью является чуть ли не весь графический стек.
> (За исключением Mac OS X, где иксы уже давно выкинуты.)Ждем доказательств на уровне технической аргументации о неуязвимости графического стека макоси. :)
> "Тут всю систему менять надо"Ага, и главное - "до основанья, а затем...". Задорный максимализм на марше. :)
Унылый старперизм ничуть не лучше.
> Унылый старперизм ничуть не лучше.Лучше, т.к. позволяет не думать. Думать - вредно, от этого голова болит.
при чем тут линукс?для убунты наваяли чудо-юдо lock - а теперь ошибки исправляют :)
Причем тут Ubuntu если написано gnome-screensaver
> Причем тут Ubuntu если написано gnome-screensaverПри том, что в других дистрах эту дыру закрыли года назад.
> Почему у винды нету таких проблем с экраном блокировкиЯ однажды сказочно поимел права SYSTEM в винде. Спасибо довеску на логон скрине - разработчики немного прошляпили и я смог всего ничего: открыть диалог выбора файла. Который оттуда - с правами SYSTEM. Если кто не в курсе - SYSTEM в винде даже круче чем админ...
Шо, опять?!
Ещё одна причина использовать для блокировки экрана vlock.
Идея неплохая, но тоже можно обойти: нажимаем Ctrl-Shift-T и оп-па! В терминале новая незаблокированная вкладка, в ней пишем killall -9 vlock, возвращаемся в исходную - а vlock слетел.
Даже новый терминал открывать не потребовалось.Не совместим vlock с современными реалиями типа терминалов с вкладками, screen, tmux и прочим. vlock -a вообще отказывается работать во вкладке исковой терминалке или внутри screen'а.
Имелся в виду vlock -ans. И разумеется, он должен висеть на горячей клавише и выполняться от рута. Или можно использовать physlock, который ставится с SUID-битом и потому не требует рута.
>Для пользователей Ubuntu 14.04 LTS выпущено обновление пакета gtk+3.0 (3.10.8-0ubuntu1.4), в котором устранена ошибка, которую можно использовать для получения доступа к заблокированному сеансу пользователя без ввода пароля.
>Для GTK+ исправление было представлено ещё в январе прошлого года и было в августе применено для пакетов Debian и Fedora.Неужели после такого могут быть психически здоровые люди, которые советуют ставить Ubuntu LTS вместо Debian?
> Неужели после такого могут быть психически здоровые люди, которые советуют ставить Ubuntu LTS вместо Fedora?// fixed
Опеннет приветствует участников Специальной олимпиады!
Неужели после такого могут быть психически здоровые люди, которые советуют ставить Linux вместо Windows?
Неужели после такого могут быть психически здоровые люди?