В Ubuntu 14.04 выявлена уязвимость (http://www.ubuntu.com/usn/usn-2303-1/), позволяющая (https://bugs.launchpad.net/ubuntu/+source/unity/+bug/1349128) обойти блокировку экрана в Unity и без ввода пароля выполнить команды в контексте рабочего стола отошедшего от компьютера пользователя. Примечательно, что несколько похожих уязвимостей было выявлено (http://www.opennet.me/opennews/art.shtml?num=39685) в апреле, но новая уязвимость имеет свою особенность - она вызвана потерей хранителем экрана контроля над вводом.
При манипуляциях (https://bugs.launchpad.net/ubuntu/+source/unity/+bug/1349128...) с индикаторами на экране блокировки входа в систему (достаточно во время ввода пароля кликнуть на индикатор и вернуться в область ввода), хранитель экрана теряет эксклюзивный контроль над вводом и клавиатурный ввод перенаправляется в заблокированное окружение рабочего стола, что позволяет злоумышленнику вслепую выполнить любые действия, в том числе запустить терминал и ввести в нём команды.
Проблема также может привести к случайной утечке пароля пользователя. Пользователь может невольно отключить перехват ввода хранителем экрана, тогда вводимый пароль будет перенаправлен в текущее активное приложение рабочего стола. В случае, если до блокировки экрана пользователь работал в браузере, он может случайно ввести пароль в web-форму и отправить её, например, в виде комментария на сайте.
Проблема проявляется только в Ubuntu 14.04 и устранена в свежем обновлении пакета unity (7.2.2+14.04.20140714-0ubuntu1.1). После применения обновления требуется перезапустить сеанс рабочего стола.URL: http://www.ubuntu.com/usn/usn-2303-1/
Новость: http://www.opennet.me/opennews/art.shtml?num=40328
Еще не все баги оффтопика перенесли в распространенные DE. We need moar!!!1
Тю, ну это же такая мелочь, что писать об этом новость?
На всякого рода машинах с убунтой всё равно всегда один пользователь-человек.
А на тех машинах, которые обслуживают множество пользователей нет никаких Юнити, скринсейверов да и убунты там тоже не часто.
В общем новость жёлтая, как фон опеннета.
Объявляю позорное "Фу!".
Это совсем не так очевидно, как ты говоришь.
Можно работать в компании и оставлять запароленный ноутбук с убунтой на рабочем месте.
Можно конечно. Для любого бага можно придумать ситуацию, когда он приведёт к серьёзным последствиям. Но вот если прикинуть вероятность использования этого бага, то картина получается совсем другая.
Как по мне баг в скринсейвере убунты не тянет на новость.>Можно работать в компании и оставлять запароленный ноутбук с убунтой на рабочем месте.
Не представляю себе ситуацию, когда ноут оказывается без контроля хозяина или его коллег. Тут ноут скорее украдут, чем будут баги эксплуатировать:)
Вообще-то куча таких ситуаций может быть. В том числе с "украдут". Ведь ставят пароль пользователя не просто так, а чтобы никто не смог зайти с правами этого пользователя.
> Не представляю себе ситуацию, когда ноут оказывается без контроля хозяина или его
> коллег.Отошел на обед?
Все ушли на обед и помещение не закрыли? Ну так это этих идиотов надо чинить, а не скринсейвер :)
У вас что ли как в армии - строем все встали и пошли обедать?
У нас идиотов нет в офисе и последний уходящий закрывает за собой дверь :)
значит у вас там все слишком умные для убунты
Когда я ухожу на обед, мои коллеги продолжают обслуживать абонентов, пользователей HPC-кластеров и т.п. В результате мой компьютер бывает под слабым наблюдением и существует ненулевая вероятность успешного набора команды на клавиатуре каким-нибудь пользователем какого-нибудь из наших сервисов. Конечно, это сложно сделать, чтобы коллеги не заметили, но в принципе возможно.Другое дело, что я не переношу все эти DE и пользуюсь dwm-ом с slock-ом.
> У нас идиотов нет в офисе и последний уходящий закрывает за собой дверь :)Т.е. у вас есть железная уверенность что коллеги белые и пушистые и уж ни в коем разе не полезут в ваш ноут? В общем случае это как-то совсем не факт, имхо.
Тащем-та, имея физический доступ к ЛЮБОМУ ПК, даже с аппаратной защитой загрузки (по ключу на брелке) можно получить доступ к данным этого ПК, в том числе сохраненным паролям, истории браузера и просто поставить жучок под крышку, который сделать на коленке может и юный радиолюбитель в 8 классе. Исключение - полностью зашифрованный раздел.
Защита информации предполагает многоуровневость. В том числе физическое ограничение (замок на дверь, сейф), видеонаблюдение, аудит изменения файлов на HDD и т.д. и т.п.
Те, кто бросают ноут на столе уходя на обед, очевидно коммерческую тайну не хранят, и так вот ломать их никто не будет. Так что новость на новость не тянет. Мелкий баг, коих в мастдае, солярке и этой вашей бзде ва-го-ны.
> Тащем-та, имея физический доступ к ЛЮБОМУ ПК, даже с аппаратной защитой загрузки
> (по ключу на брелке) можно получить доступ к данным этого ПК,
> в том числе сохраненным паролям, истории браузераЭто если не хранить пароли на зашифрованном разделе.
> и просто поставить жучок
> под крышку, который сделать на коленке может и юный радиолюбитель в
> 8 классе.Я посмотрю, как радиолюбитель в 8 классе будет делать жучок, который будет собирать данные и отправлять их по 2,4ГГц.
>когда ноут оказывается без контроля хозяина или его коллегвы 100% доверяете коллегам? А проходящим мимо уборщицам \ ремонтникам? А если ноут вы потеряли?
Убунта в очередной раз доказала что не годиться для более-менее серьезного корпоративного сектора.
> что не годитьсяАноним в очередной раз поразил всех знанием русского языка ...
Ты, наверное, работаешь учителем русского языка в школе?
>>когда ноут оказывается без контроля хозяина или его коллег
> вы 100% доверяете коллегам? А проходящим мимо уборщицам \ ремонтникам? А если
> ноут вы потеряли?
> Убунта в очередной раз доказала что не годиться для более-менее серьезного корпоративного
> сектора.А если вы потеряли ноут с виндовс? А если с любая-другая-ос? Уборщиц вообще-то в кабинет запускают под наблюдением глаз и камер, во избежание вытыкания какого-либо кабеля, залива водой железа, и вообще человеческого фактора.
Фигню несете )
> Не представляю себе ситуацию, когдаЛадно тут. Главное в багтрекерах на такие отписки бы не нарываться.
Проект, в котором вместо исправления багов *безопасности* начинают что-то представлять или не представлять, очень быстро придёт к успеху.
Пoддерживаю. Не нужнo, закoпать. Бригада талантливых прoграммистoв мoжет oживить прoект, нo не репутацию.
Не выявлена, а опять выявлена.
Да!
Опять?
не опять, а снова в решете наступили на теже грабли, кодинг в стиле CTRL+C, CTRL+V
С каждым релизом мы с друзьями находим уязвимость, позволяющую обойти хранитель экрана.
> С каждым релизом мы с друзьями находим уязвимость, позволяющую обойти хранитель экрана.Тогда уж так: "у нас с друзьями есть традиция - под каждый релиз мы запускаем хранитель экрана и находим способ обойти применяемые им блокировки".
А вообще, политика "активация следует за мышью" - исконно иксовая, между прочим, в отличие от воспринятой извне "активация по щелчку" - спасёт отцов всемирной демократии.
>> С каждым релизом мы с друзьями находим уязвимость, позволяющую обойти хранитель экрана.
> Тогда уж так: "у нас с друзьями есть традиция - под каждый
> релиз мы запускаем хранитель экрана и находим способ обойти применяемые им
> блокировки".А потом одного из нас, пьяного, отправляют админить арч на новый год.
> А потом одного из нас, пьяного, отправляют админить арчАдминить арч? Жестоко у вас за пьянство наказывают. Уж лучше бы, там, воду в решете носить или пристрелили бы на крайняк. Садисты!
Я считаю пора перенести функции блокировщика экрана в systemd и таких позорных проблем больше не будет на корню.
+2k
> Я считаю пора перенести функции блокировщика экрана в systemd и таких позорных
> проблем больше не будет на корню.Вы не забывайте, пожалуйста, табличку "*сарказм*". А то складывается впечатление, будто бы вы это серьёзно говорите. :)
ее еще с прошлого раза не заткнули.
Ну так если именно "затыкают" а не пытаются решить проблему из-за которой такое происходит.
Этот путь прошли разработчики всех популярных DE:> Guess what, they did it again! Ubuntu Unity's screen-locking framework is yet another rewrite, and it is completely broken, bug-ridden and insecure. At this time I don't have any information on how to turn it off and use xscreensaver instead. If you do, let me know.
http://www.jwz.org/xscreensaver/man1.html#10
К слову, задача не такая уж и простая как кажется.
> Этот путь прошли разработчики всех популярных DE:
>> Guess what, they did it again! Ubuntu Unity's screen-locking framework is yet another rewrite, and it is completely broken, bug-ridden and insecure. At this time I don't have any information on how to turn it off and use xscreensaver instead. If you do, let me know.
> http://www.jwz.org/xscreensaver/man1.html#10
> К слову, задача не такая уж и простая как кажется.может просто задачу на другом уровне надо решать?
запретить screensaver, ага
> запретить screensaver, агаЭто к Мизулиной Вам )) Так и вижу заголовки: в Госду*е запретили хранители экрана ))
В Ubuntu! Нормально.
Оно, эти потуги, совместно с набором пароля, снимает на видеокамеру, и в трубу выкладывает ;)
Под соусом "Вы забыли пароль, ща найдем!".
Интересно, как нашли уязвимость
> Интересно, как нашли уязвимостькто то случайно удалил пару важных файлов :)
А чем народа не устраивает xscreensaver, что он постоянно изобретает велосипеды?
Он же страшный как смерть.
По-моему, самая пакость в нем - это то, что автор не хочет запиливать туда индикатор раскладки.
> По-моему, самая пакость в нем - это то, что автор не хочет
> запиливать туда индикатор раскладки.А почему бы не использовать "grp_led"? :)
Option "XkbOptions" "...,grp_led:scroll"
>> По-моему, самая пакость в нем - это то, что автор не хочет
>> запиливать туда индикатор раскладки.
> А почему бы не использовать "grp_led"? :)
> Option "XkbOptions" "...,grp_led:scroll"а если нужно до 7 раскладок, то можно num/caps/scroll юзать, жаль у них яркость не регулируется :) ( а постоянный caps запретить, лишняя функция ).
p.s. вот тут подумал, а ведь у меня дома к примеру на понравившейся мне по кнопкам/шуму/раскладке беспроводной клавиатуре нет этих светодиодов...
> а если нужно до 7 раскладок, то можно num/caps/scroll юзать,По идее до 8, ибо 2^3.
> Он же страшный как смерть.Применимо ли слово "страшный" к скринсейверу? Как показало обсуждение выше, основным назначением данной фичи является не радовать хозяина эстетически, а как раз то, чтобы коллеги не сперли что-то в его отсутствие. Для таких коллег страшное показывать - самое то.
>> Он же страшный как смерть.
> Применимо ли слово "страшный" к скринсейверу? Как показало обсуждение выше, основным назначением
> данной фичи является не радовать хозяина эстетически, а как раз то,
> чтобы коллеги не сперли что-то в его отсутствие. Для таких коллег
> страшное показывать - самое то.ВодЪ. В этом и прелесть юникс-лайк ОС. Хочешь - красиво и бажно, хочешь секъюрно и строго, хочешь вообще ctrl+alt+f1 и домашние в пролете попалить, что у тебя открыто пока отошёл, ибо Линукс не знают.
У меня вообще скринсэйвер со времен Win95 - черный экран.А в комерческих ОС то, как вам лучше, решает дядя Сэм.
Какие-то детские баги.
> Какие-то детские баги.Очень. Мигнул свет. Автомат оплаты ребутнулся у меня перед носом. Спасибо что я не успел бабло в него засунуть. И что мы видим? Уютный десктоп виндуса где пашут какие-то антивири и прочее. Поклацав по сенсорному экрану стало понятно что он лишь мышь в систем, можно в 2 счета запустить проводник и что там еще и порулить системой, пока морда не запустилась (а это добрых 5-7 минут, пока вкалывает антивирус).
Нормально - любой кто успел к моменту ребута автомата может им порулить как угодно :). На фоне этого убунтуи и правда детишки.
>> Какие-то детские баги.
> Очень. Мигнул свет. Автомат оплаты ребутнулся у меня перед носом. Спасибо что
> я не успел бабло в него засунуть. И что мы видим?
> Уютный десктоп виндуса где пашут какие-то антивири и прочее. Поклацав по
> сенсорному экрану стало понятно что он лишь мышь в систем, можно
> в 2 счета запустить проводник и что там еще и порулить
> системой, пока морда не запустилась (а это добрых 5-7 минут, пока
> вкалывает антивирус).
> Нормально - любой кто успел к моменту ребута автомата может им порулить
> как угодно :). На фоне этого убунтуи и правда детишки.Разница лишь в том, что в вашем случае это лишь непродуманное ПО, которое поставили сборщики автомата (там внутри обычный системник с tower-корпусом). А в случае, описанном в новости речь идет о ПО, включенном в систему, причем в стабильный релиз.
>> Какие-то детские баги.
> Очень. Мигнул свет. Автомат оплаты ребутнулся у меня перед носом. Спасибо что
> я не успел бабло в него засунуть. И что мы видим?
> Уютный десктоп виндуса где пашут какие-то антивири и прочее. Поклацав по
> сенсорному экрану стало понятно что он лишь мышь в систем, можно
> в 2 счета запустить проводник и что там еще и порулить
> системой, пока морда не запустилась (а это добрых 5-7 минут, пока
> вкалывает антивирус).
> Нормально - любой кто успел к моменту ребута автомата может им порулить
> как угодно :). На фоне этого убунтуи и правда детишки.Именно поэтому в большинство автоматов стоит ИБП. А "рулят" им по удаленке радмином или с усб клавы вызывая Диспетчер задач. Почему так? Скорее всего чтобы платить поменьше тем, кто обслуживает, ибо Линуксоид - редкий вид. Разработчик под Линь - ещё и дорогой. И что самое хреновое, сложно быстро найти замену спецу, который поставил свою любимую Delphinium linux 3.0, понапихал каких-то скриптов кривых и репозиториев непонятно куда, и всё это как-то работает, но как - непонятно никому кроме него, т.к. на аудит чужой системы нужно время, и быстро баг новый человек не починит.
обана, виндовс 98 опять с нами? 2014й год на дворе.
Шо?! Опять? Все равно не брошу бубунточку. Unity рулит просто по удобству.
... по удобству ловить баги
> Unity рулит просто по удобству.Не знаю какое там удобство...мне лично и традиционного МАТЕ хватает.
А так да - убунтоподобные были и остаются одними из самых удобных и доведенных до ума дистрибутивов. А все нападки на них - не более чем проявление обычной зависти.
>> Unity рулит просто по удобству.
> Не знаю какое там удобство...мне лично и традиционного МАТЕ хватает.
> А так да - убунтоподобные были и остаются одними из самых
> удобных и доведенных до ума дистрибутивов. А все нападки на них
> - не более чем проявление обычной зависти.Та не говорите. Как будто люди, которые бьют себя пяткой в грудь с криком "Ага!" просто не знают, что существуют альтернативные ДЕ и софт. Разрабы забили на твою любимую переключалку раскладки, медленно фиксят баги? В топку их, качаешь другую и не паришься. Или пишешь сам, кошерно и правильно. Тогда точно никто баг "стандартный" не заюзает.
У мну openbox + lxpanelx и несколько лет всё ок.
В остальных линуксах еще хуже, просто они никому не нужны.
> В остальных линуксах еще хуже, просто они никому не нужны.Мда, из за того, что твой папа не смог вовремя найти пре зер ватив, появилось такое ненужно как ты.
> В остальных линуксах еще хуже, просто они никому не нужны.Отучаемся говорить за всех.
>> В остальных линуксах еще хуже, просто они никому не нужны.
> Отучаемся говорить за всех.fix: просто они нужны нескольким процентам анонимусов )
Помню сайтик был со статистикой использования ОС, там вроде дебиан и бубунта по 30%, потом сусь, минт, немного красной шляпы и федоры, а остальные - проценты.