Autor Thema: X.org diverses  (Gelesen 1382 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 191383
  • Ohne Input kein Output
    • DVB-Cube
X.org diverses
« am: 20 Januar, 2012, 13:55 »
Der X-Server von X.org enthält ab der Version 1.11, die im September letzten Jahres erschienen ist, eine pikante Schwachstelle, durch die man sich Zugriff auf einen gesperrten Rechner verschaffen kann, wie der französischer Blogger Gu1 entdeckt hat. Drückt man die Tasten Strg, Alt und die Multiplikationstaste des Ziffernblocks gleichzeitig, wird der eingestellte Bildschirmschoner beendet und der Rechner entsperrt; wir konnten das Problem auf Fedora 16 nachvollziehen, bei dem die von Fedora zwischenzeitlich herausgegebenen Korrektur noch nicht eingespielt war.

Dafür ist laut Gu1 die Debug-Option "AllowClosedownGrabs" verantwortlich: Ist sie aktiv, führt die Tastenkombination dazu, dass Prozesse, die Maus- oder Tastatureingaben abfangen, beendet werden – in diesem Fall also der Bildschirmschoner, der den Zugriff auf den gesperrten Rechner normalerweise verhindert.

Laut Gu1 war die Funktion erstmals bereits bis 2008 vorhanden. Damals war sie standardmäßig inaktiv und ausreichend in der Dokumentation erklärt. Vor dem Sicherheitsproblemen, die in Verbindung mit Bildschirmschonern auftreten können, haben die Entwickler sogar ausdrücklich gewarnt. Mit Hilfe einer API konnten Entwickler von diese Funktion gezielt für ihre Prozesse abschalten.

Im vergangenen Jahr wurde diese Funktion wieder eingeführt – "dieses Mal allerdings standardmäßig aktiv, schlecht dokumentiert und schwer konfigurierbar", kritisiert der Blogger. Der X.org-Entwicker Peter Hutterer begründet dies mit einem Kommunikationsproblem innerhalb des Entwicklungsteams: Nachdem die Funktion wieder eingebaut wurde, habe man versäumt, die Tastenkombination aus der Standard-Keymap zu entfernen.

Laut Gu1 sind alle Linux-Distributionen verwundbar, die Version 1.11 des X-Servers von X.org einsetzen. Er konnte das Problem mit Debian und Gnome 3 sowie Arch Linux mit Gnome 3, Slock und Slimlock nachvollziehen. Auch KDE lässt sich anscheinend auf diese Weise entsperren.

Welche X-Server-Version man einsetzt, erfährt man durch den Befehl X -version. Abhilfe schafft es, sämtliche Verweise auf XF86Ungrab und XF86ClearGrab von Hand aus der xkb-Konfiguration zu löschen oder vlock einzusetzen, berichtet Gu1.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline mtron

  • Server-Admin
  • *
  • Beiträge: 1514
    • some debs
Re: X.org-Server entsperrt Rechner für jeden
« Antwort #1 am: 20 Januar, 2012, 15:46 »
kann ich nicht nachvollziehen. die Tastenkombination bewirkt hier garnix.
Signatur
PC: lshw | Sats: 19.2° & 13°Ost (DiSEqC, 80cmØ Blech) | DVB-Soft: vdr 2.1.7 mit softhddevice via va-api
- Hauppauge Nova-T USB 2.0 Stick mit DiBcom DiB7700P Frontend, MT2060 tuner, Firmware
- TerraTec Cinergy S2 PCI HD mit STB0899 demodulator und Mantis VP 1041 PCI bridge
- TerraTec Cinergy S2 USB mit Montage DS3000 demodulator und IR-receiver,  Firmware
[close]

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 191383
  • Ohne Input kein Output
    • DVB-Cube
Weitere historische X.org-Lücke entdeckt
« Antwort #2 am: 08 Januar, 2014, 21:00 »
Die X.Org Foundation hat eine ein Sicherheitsloch in ihrem X-Server gestopft, das dort schon geschlagene 23 Jahre schlummerte. Der X-Server ist der zentrale Bestandteil der Grafik-Infrastruktur freier Betriebssysteme wie Linux und BSD.

Es handelt sich um einen Pufferüberlauf auf dem Stack, der bei der Verarbeitung von bitmap-basierten Schriftarten (BDF-Format) auftritt. Laut den Entwicklern wurde die Schwachstelle mit X11R5 eingeführt, das im September 1991 erscheinen ist. Ihre Entdeckung geht auf das Konto des Quellcode-Analyse-Tools cppcheck.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )