OpenForum RSS: Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим... https://ssl.opennet.dev/openforum/vsluhforumID3/89656.html Опубликованы (http://lists.x.org/archives/xorg-announce/2013-April/002200.html) внеплановые обновления X.Org Server 1.14.1 и 1.13.4 (http://lists.x.org/archives/xorg-announce/2013-April/002199.html), в которых исправлено несколько ошибок в системе сборки и устранена уязвимость (http://who-t.blogspot.ru/2013/04/cve-2013-1940-vt-switched-servers.html) (СVE-2013-1940 (https://bugzilla.redhat.com/show_bug.cgi?id=950438)), которая может привести незаметной подстановке событий ввода. <br><br><br><br>В частности, в момент неактивности запущенного X-сервера, например, когда пользователь перешёл в виртуальный терминал, атакующий может подключить к компьютеру внешнее устройство ввода и отправить с него события ввода. При возврате в графический сеанс данные события будут воспроизведены в текущем сеансе. Для наглядной демонстрации уязвимости можно запустить текстовый редактор, перейти в виртуальную консоль, подключить внешнюю клавиатуру и набрать текст. После возврата в графический сеанс из консоли, данный текст появится в окне р Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим... (kotfantazer) https://ssl.opennet.dev/openforum/vsluhforumID3/89656.html#10 Wed, 17 Apr 2013 19:30:30 GMT и у меня в федоре аналогично, и всегда так было. <br> Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим... (ананис) https://ssl.opennet.dev/openforum/vsluhforumID3/89656.html#8 Wed, 17 Apr 2013 14:04:19 GMT нет. сочетание Alt+F2 не передалось иксам, ибо переключает tty :)<br> Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим... (Аноним) https://ssl.opennet.dev/openforum/vsluhforumID3/89656.html#7 Wed, 17 Apr 2013 13:44:45 GMT У меня при выходе из спящего режима перед экраном блокировки секунды 2-3 рабочий стол висит.<br>Оффтоп, конечно, но все равно интересный факт.<br> Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим... (Семен) https://ssl.opennet.dev/openforum/vsluhforumID3/89656.html#6 Wed, 17 Apr 2013 13:37:15 GMT &gt; "Alt+F2 rm -fr $HOME/*" - проверено работает на Arch current<br><br>На своей рабочей машине проверил?<br> Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим... (ананис) https://ssl.opennet.dev/openforum/vsluhforumID3/89656.html#5 Wed, 17 Apr 2013 12:36:13 GMT "внутрикорпоративная безопасность" вам о чем-нибудь говорит? дыра работает, даже если ты в консоли не залогинен.<br> Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим... (Аноним) https://ssl.opennet.dev/openforum/vsluhforumID3/89656.html#4 Wed, 17 Apr 2013 12:20:09 GMT Более того, злоумышленник может подключить внешнюю клавиатура и ввести всё что угодно без всяких переключений в виртуальный терминал!<br> Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим... (cema) https://ssl.opennet.dev/openforum/vsluhforumID3/89656.html#3 Wed, 17 Apr 2013 11:38:59 GMT &gt;В частности, в момент неактивности запущенного X-сервера, например, когда пользователь перешёл в виртуальный терминал, атакующий может подключить к компьютеру внешнее устройство ввода и отправить с него события ввода. При возврате в графический сеанс данные события будут воспроизведены в текущем сеансе. Для наглядной демонстрации уязвимости можно запустить текстовый редактор, перейти в виртуальную консоль, подключить внешнюю клавиатуру и набрать текст. После возврата в графический сеанс из консоли, данный текст появится в окне редактора. <br><br>Может быть это был не баг, а фитча?<br> Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим... (ананис) https://ssl.opennet.dev/openforum/vsluhforumID3/89656.html#2 Wed, 17 Apr 2013 11:38:44 GMT &gt;После возврата в графический сеанс из консоли, данный текст появится в окне редактора.<br><br>а ведь можно и "Alt+F2 rm -fr $HOME/*" однако. дыра и впрямь серьезная, да еще и проверено работает на Arch current<br>