The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвимости

17.04.2013 15:01

Опубликованы внеплановые обновления X.Org Server 1.14.1 и 1.13.4, в которых исправлено несколько ошибок в системе сборки и устранена уязвимость (СVE-2013-1940), которая может привести к незаметной подстановке событий ввода.

В частности, в момент неактивности запущенного X-сервера, например, когда пользователь перешёл в виртуальный терминал, атакующий может подключить к компьютеру внешнее устройство ввода и отправить с него события ввода. При возврате в графический сеанс данные события будут воспроизведены в текущем сеансе. Для наглядной демонстрации уязвимости можно запустить текстовый редактор, перейти в виртуальную консоль, подключить внешнюю клавиатуру и набрать текст. После возврата в графический сеанс из консоли, данный текст появится в окне редактора.

  1. Главная ссылка к новости (http://lists.x.org/archives/xo...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/36719-xorg
Ключевые слова: xorg
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (8) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, ананис (?), 15:38, 17/04/2013 [ответить]  
    		• +1 +/
    >После возврата в графический сеанс из консоли, данный текст появится в окне редактора.

    а ведь можно и "Alt+F2 rm -fr $HOME/*" однако. дыра и впрямь серьезная, да еще и проверено работает на Arch current

     
     
  • 2.6, Семен (??), 17:37, 17/04/2013 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > "Alt+F2 rm -fr $HOME/*" -  проверено работает на Arch current

    На своей рабочей машине проверил?

     
     
  • 3.8, ананис (?), 18:04, 17/04/2013 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    нет. сочетание Alt+F2 не передалось иксам, ибо переключает tty :)
     

  • 1.3, cema (ok), 15:38, 17/04/2013 [ответить]  
    		• +/
    >В частности, в момент неактивности запущенного X-сервера, например, когда пользователь перешёл в виртуальный терминал, атакующий может подключить к компьютеру внешнее устройство ввода и отправить с него события ввода. При возврате в графический сеанс данные события будут воспроизведены в текущем сеансе. Для наглядной демонстрации уязвимости можно запустить текстовый редактор, перейти в виртуальную консоль, подключить внешнюю клавиатуру и набрать текст. После возврата в графический сеанс из консоли, данный текст появится в окне редактора.

    Может быть это был не баг, а фитча?

     
  • 1.4, Аноним (-), 16:20, 17/04/2013 [ответить]  
    		• +/
    Более того, злоумышленник может подключить внешнюю клавиатура и ввести всё что угодно без всяких переключений в виртуальный терминал!
     
     
  • 2.5, ананис (?), 16:36, 17/04/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    "внутрикорпоративная безопасность" вам о чем-нибудь говорит? дыра работает, даже если ты в консоли не залогинен.
     

  • 1.7, Аноним (-), 17:44, 17/04/2013 [ответить]  
    		• +/
    У меня при выходе из спящего режима перед экраном блокировки секунды 2-3 рабочий стол висит.
    Оффтоп, конечно, но все равно интересный факт.
     
     
  • 2.10, kotfantazer (ok), 23:30, 17/04/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    и у меня в федоре аналогично, и всегда так было.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру