The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В GNOME исправлена ошибка, позволяющая получить доступ к сеансу, невзирая на блокировку экрана

18.06.2013 23:17

В кодовой базе GNOME устранена потенциальная уязвимость, которая может привести к краху GNOME Shell после выхода из спящего режима с последующим попаданием в существующий X-сеанс без предварительного отображения диалога аутентификации, невзирая на блокировку экрана. Точных факторов способствующих проявлению ошибки не приводится, но указано, что в процессе выхода из спящего режима в Fedora 19 подобное поведение наблюдается регулярно и ошибка не может быть отнесена к категории редко проявляющихся проблем.

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Уязвимость, позволяющая обойти блокировку хранителя экрана
  3. OpenNews: Уязвимость, позволяющая обойти парольную защиту хранителя экрана GNOME
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/37205-gnome
Ключевые слова: gnome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:21, 18/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > к краху GNOME Shell после выхода из спящего режима и переходу в существующий X-сеанс без отображения диалога аутентификации.
    > к краху

    То есть, доступом к сеансу злоумышленник воспользоваться не успеет. Молодцы, чо. Grsecurity style - пока система паникует, она неуязвима.

    Кстати, на днях во фре local root прикрыли. По-моему, куда больше заслуживает новости, чем $subj.

     
     
  • 2.3, Аноним (-), 23:36, 18/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Про FreeBSD уже в главных написали (http://www.opennet.me/opennews/art.shtml?num=37206), а про GNOME в мини.
     
     
  • 3.5, Аноним (-), 23:50, 18/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Оперативно, всего 4 минуты с момента моего комментария :)
     
  • 2.15, Аноним (-), 12:05, 19/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> к краху GNOME Shell после выхода из спящего режима и переходу в существующий X-сеанс без отображения диалога аутентификации.
    >> к краху
    > То есть, доступом к сеансу злоумышленник воспользоваться не успеет. Молодцы, чо.

    Топор во очо.


    Гномосеки забегали, как тараканы под Красным Рэйдом?

     
  • 2.16, braintorch (?), 15:14, 19/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Балда, падает-то gnome-shell, а доступ к иксам остаётся.
     

  • 1.2, Аноним (-), 23:34, 18/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А давайте уже каждый коммит в гноме сюда писать!
     
     
  • 2.4, Аноним (-), 23:38, 18/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не в каждом коммите исправляют ошибки, позволяющие получить доступ к рабочему столу обойдя блокировку экрана.
     
     
  • 3.7, Аноним (-), 00:24, 19/06/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Не в каждом коммите исправляют ошибки, позволяющие получить доступ к рабочему столу
    > обойдя блокировку экрана.

    Но она по-любому не была столь любопытна, как эта.
    https://github.com/MrMEEE/bumblebee-Old-and-abbandoned/commit/a047be85247755cd

     
     
  • 4.14, Аноним (-), 10:17, 19/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    и что тут любопытного?
     
  • 3.18, Аноним (-), 16:15, 19/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    В КДЕ тоже недавно был похожий баг, а так же 2 бага, удалявших хомяк целиком, но об этом отдельную новость не писали
     
     
  • 4.19, arisu (ok), 16:27, 19/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В КДЕ тоже недавно был похожий баг, а так же 2 бага,
    > удалявших хомяк целиком, но об этом отдельную новость не писали

    кедерам не надо пиариться, их DE и так хорошее.

     

  • 1.6, Аноним (-), 00:22, 19/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все эти скринсейверы... Сколько раз уже баги находили, и в них, и в иксах. Ребят, ну используйте уже vlock, правда ;-)
     
  • 1.8, pavlinux (ok), 00:33, 19/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хех...

    $ xscreensaver-command -lock

    и если долго kуячить по <Esc>, то с большой вероятностью попадёте без аутентификации в рабочий сеанс.

     
     
  • 2.9, Аноним (-), 00:35, 19/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не работает.
     
     
  • 3.10, pavlinux (ok), 00:41, 19/06/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не работает.

    C большой вероятностью, 50/50 - или попадёшь или нет. :)

     

  • 1.11, arisu (ok), 08:35, 19/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Точных факторов способствующих проявлению ошибки не приводится

    жаль, исходники закрыть нельзя. а в остальном у гномеров давно типично проприерастское поведение.

     
     
  • 2.12, Аноним (-), 09:13, 19/06/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ну ты денег заплатил или хотябы грамотный багрепорт отправил?
     
     
  • 3.13, arisu (ok), 09:30, 19/06/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ну ты денег заплатил или хотябы грамотный багрепорт отправил?

    и к чему твой вопрос? ты как обычно: ничего не понял, но захотел что-то умное вякнуть? так у тебя как обычно же не получилось.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру