DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 20 Januar, 2012, 13:55

Titel: X.org diverses
Beitrag von: SiLæncer am 20 Januar, 2012, 13:55

Der X-Server von X.org enthält ab der Version 1.11, die im September letzten Jahres erschienen ist, eine pikante Schwachstelle, durch die man sich Zugriff auf einen gesperrten Rechner verschaffen kann, wie der französischer Blogger Gu1 entdeckt hat (http://gu1.aeroxteam.fr/2012/01/19/bypass-screensaver-locker-program-xorg-111-and-up/). Drückt man die Tasten Strg, Alt und die Multiplikationstaste des Ziffernblocks gleichzeitig, wird der eingestellte Bildschirmschoner beendet und der Rechner entsperrt; wir konnten das Problem auf Fedora 16 nachvollziehen, bei dem die von Fedora zwischenzeitlich herausgegebenen Korrektur noch nicht eingespielt war.

Dafür ist laut Gu1 die Debug-Option "AllowClosedownGrabs" verantwortlich: Ist sie aktiv, führt die Tastenkombination dazu, dass Prozesse, die Maus- oder Tastatureingaben abfangen, beendet werden – in diesem Fall also der Bildschirmschoner, der den Zugriff auf den gesperrten Rechner normalerweise verhindert.

Laut Gu1 war die Funktion erstmals bereits bis 2008 vorhanden. Damals war sie standardmäßig inaktiv und ausreichend in der Dokumentation erklärt. Vor dem Sicherheitsproblemen, die in Verbindung mit Bildschirmschonern auftreten können, haben die Entwickler sogar ausdrücklich gewarnt. Mit Hilfe einer API konnten Entwickler von diese Funktion gezielt für ihre Prozesse abschalten.

Im vergangenen Jahr wurde diese Funktion wieder eingeführt – "dieses Mal allerdings standardmäßig aktiv, schlecht dokumentiert und schwer konfigurierbar", kritisiert der Blogger. Der X.org-Entwicker Peter Hutterer begründet dies mit einem Kommunikationsproblem innerhalb des Entwicklungsteams: Nachdem die Funktion wieder eingebaut wurde, habe man versäumt, die Tastenkombination aus der Standard-Keymap zu entfernen.

Laut Gu1 sind alle Linux-Distributionen verwundbar, die Version 1.11 des X-Servers von X.org einsetzen. Er konnte das Problem mit Debian und Gnome 3 sowie Arch Linux mit Gnome 3, Slock und Slimlock nachvollziehen. Auch KDE lässt sich anscheinend auf diese Weise entsperren.

Welche X-Server-Version man einsetzt, erfährt man durch den Befehl X -version. Abhilfe schafft es, sämtliche Verweise auf XF86Ungrab und XF86ClearGrab von Hand aus der xkb-Konfiguration zu löschen oder vlock einzusetzen, berichtet Gu1.

Quelle : www.heise.de

Titel: Re: X.org-Server entsperrt Rechner für jeden
Beitrag von: mtron am 20 Januar, 2012, 15:46

kann ich nicht nachvollziehen. die Tastenkombination bewirkt hier garnix.

Titel: Weitere historische X.org-Lücke entdeckt
Beitrag von: SiLæncer am 08 Januar, 2014, 21:00

Die X.Org Foundation hat eine ein Sicherheitsloch in ihrem X-Server gestopft, das dort schon geschlagene 23 Jahre schlummerte. Der X-Server ist der zentrale Bestandteil der Grafik-Infrastruktur freier Betriebssysteme wie Linux und BSD.

Es handelt sich um einen Pufferüberlauf auf dem Stack, der bei der Verarbeitung von bitmap-basierten Schriftarten (BDF-Format) auftritt. Laut den Entwicklern wurde die Schwachstelle mit X11R5 eingeführt, das im September 1991 erscheinen ist. Ihre Entdeckung geht auf das Konto des Quellcode-Analyse-Tools cppcheck.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Weitere-historische-X-org-Luecke-entdeckt-2078976.html)

Quelle : www.heise.de