7 лет назад 20 января 2012 в 23:15 89

В X.org 1.11 найдена критическая уязвимость

В исходниках X.Org Server 1.11 и выше (присутствует в Fedora 16, Arch Linux, Fuduntu, Debian Unstable не зависимо от рабочей среды) нашли баг, который фактически делает бессмысленной работу скринсейверов с блокировкой экрана. Любой скринсейвер с блокировкой экрана, будь то gnome-screensaver, kscreenlocker, slock, slimlock или другой, выключается элементарным сочетанием клавиш клавиш Ctrl-Alt-* (звёздочка на цифровом блоке клавиатуры).

На самом деле это не совсем баг, а побочный эффект срабатывания специально задуманной функции PrintDeviceGrabInfo, но всё равно это серьёзная уязвимость, потому что блокировкой экрана люди пользуются не просто так, а чтобы блокировать несанкционированный доступ в систему во время своего отсутствия. Если же блокировка снимается так просто, то никакой защиты нет вообще.

Хуже того, наличие такой дыры в течение долгого времени (семь месяцев) вообще может подорвать доверие к безопасности Linux. А что, если кто-то знал об этом «волшебном» сочетании клавиш и раньше, и пользовался своими знаниями?

Сейчас-то, конечно, баг в X.Org быстро закроют, а некоторые дистрибутивы Linux, не дожидаясь этого, выпустили собственные патчи: например, Arch Linux выпустил патч вчера днём.

В Ubuntu X.Org версии 1.10.4, поэтому эта ОС не подвержена данной уязвимости. Версия X.Org 1.11 планируется к внесению в 12.04, но стоит полагать, к этому времени данный баг успеют исправить.

Никто не прокомментировал материал. Есть мысли?