The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от opennews on 19-Янв-15, 09:50 
Для пользователей  Ubuntu 14.04 LTS выпущено (http://www.ubuntu.com/usn/usn-2475-1/) обновление пакета gtk+3.0 (https://launchpad.net/ubuntu/+source/gtk+3.0) (3.10.8-0ubuntu1.4 (https://launchpad.net/ubuntu/+source/gtk+3.0/3.10.8-0ubuntu1.4)), в котором устранена ошибка, которую можно использовать (https://bugs.launchpad.net/ubuntu/+source/gtk+3.0/+bug/13667...) для получения доступа к заблокированному сеансу пользователя без ввода пароля. Проблема продолжает серию (http://www.opennet.dev/opennews/art.shtml?num=40328) выявленных (http://www.opennet.dev/opennews/art.shtml?num=39685) в прошлом году уязвимостей, вызванных некорректной обработкой клавиатурных событий во время блокирования экрана.


На этот раз блокировку можно обойти из-за некорректной обработки нажатия клавиши "меню" в GTK+ -  достаточно успеть нажать клавишу "меню" до появления приглашения ввода пароля в gnome-screensaver или cinnamon-screensaver, после чего ввод будет перенаправляться в приложение, окно которого было активно до блокировки экрана. Проблема не специфична для Ubuntu и может проявляться в других системах, использующих gnome-screensaver или cinnamon-screensaver. Для GTK+  исправление было представлено (https://mail.gnome.org/archives/commits-list/2014-January/ms...) ещё в январе прошлого года и было в августе применено для пакетов Debian (https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=759145) и Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1064695). В Ubuntu 14.10 поставляется пакет с не подверженной уязвимости версией GTK+.


URL: http://www.ubuntu.com/usn/usn-2475-1/
Новость: http://www.opennet.dev/opennews/art.shtml?num=41486

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +4 +/
Сообщение от wegwe on 19-Янв-15, 09:50 
Какие-то детские проблемы, ЖУТЬ.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +6 +/
Сообщение от llolik (ok) on 19-Янв-15, 10:00 
Ну ИМХО проблемы, как проблемы, вполне себе обычные, а вот тестированием мало кто/никто не занимался - это таки да.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +2 +/
Сообщение от paulus (ok) on 19-Янв-15, 11:47 
не так уж и мало, просто гномовские проблемы туго решают... Например с тем же блокировщиком Bug 1307163 gnome-screensaver-command не работает с 2014-04-13... Так что гномоводам нужно тестить больше, а не системд во все гномощели совать (это так, к слову)...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

19. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +3 +/
Сообщение от Аноним (??) on 19-Янв-15, 12:37 
> не так уж и мало, просто гномовские проблемы туго решают... Например с тем же блокировщиком Bug 1307163 gnome-screensaver-command не работает с 2014-04-13... Так что гномоводам нужно тестить больше, а не системд во все гномощели совать (это так, к слову)...

Судя по тому, что сабжевую дыру в гноме закрыли больше года назад - по части тормозов гномоводы просто дети по сравнению с профессионалами из каноникла.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

38. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от 888 on 19-Янв-15, 14:23 
> Ну ИМХО проблемы, как проблемы, вполне себе обычные, а вот тестированием мало
> кто/никто не занимался - это таки да.

2-е место в дистровотч по количеству тестеров. Просто, как всегда, количество маркетологов на нормального технаря зашкаливает.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 12:07 
Приветы из прошлого века. Баг с блокировкой экрана в windows-98.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +4 +/
Сообщение от irinat (ok) on 19-Янв-15, 12:09 
Существовали люди, которые пользовались блокировкой экрана в Windows 98?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

39. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от 888 on 19-Янв-15, 14:25 
> Приветы из прошлого века. Баг с блокировкой экрана в windows-98.

Там всё запущеннее было - по Esc заходили в систему, если пароль был неизвестен.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от IceMan (ok) on 19-Янв-15, 12:55 
http://www.jwz.org/xscreensaver/faq.html#toolkits
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +1 +/
Сообщение от Аноним (??) on 19-Янв-15, 10:18 
Объясните дураку, который никогда не писал заставки для линукса — чо за хрень? Почему у винды нету таких проблем с экраном блокировки, а у иксов есть?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +11 +/
Сообщение от Аноним (??) on 19-Янв-15, 10:22 
Потому что у иксов продуманная архитектура.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +8 +/
Сообщение от wd on 19-Янв-15, 10:33 
http://i.imgur.com/fqjnK.gif есть
просто меньше нужно функционала напихивать в блокировщик
опятьже в винде помнится мне был вариант IE засунуть как заставку в 98, актив десктоп и все такое
не думаю что там все сильно безопасно
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

28. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 13:13 
В винде раньше, было дело, вирусяки любили прописывать свои исполняемые файлы как скринсейверы.
Как там сейчас - не знаю, живую винду вижу крайне редко.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +3 +/
Сообщение от Bocha (??) on 19-Янв-15, 10:40 
Они есть, ровно те же самые. Тут уже показали гифчик для 98й винды, но в Windows 8 можно сделать почи тоже самое: на экране ввода пароля в левом нижнем углу есть кнопка "Специальные возможности", из которой открывается меню запуска экранной клавиатуры, экранной лупы и т.п. По сути данная кнопка вызывает программу Utilman.exe, которую можно, загрузившись с любого лайв-сиди, удалить и её именем назвать cmd.exe, тогда при нажатии на экране ввода пароля в Windows 8 на кнупку специальных возможностей откроется коммандная строка с админскими правами. Дайте из неё команду net user <имя, которое вы и так видите на экране, просящее пароль> <новый пароль> - всё, логинимся под новым паролем и делаем что надо. Эти проблемы старые как мир, и очень часто я крайне рад, что они есть, без них было бы трудно.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +1 +/
Сообщение от Аноним (??) on 19-Янв-15, 10:44 
В новости проблема не в том, что можно подменить блокировщик экрана или что-то, что он дергает, а в том, что он нихрена не блокирует. Вопрос — почему так получается?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +3 +/
Сообщение от Аноним (??) on 19-Янв-15, 11:45 
Как уже отметили выше в иксов продуманная "архитектура".

В рамках этой "архитектуры" блокировщик экрана это окно, просто окно и не более того. Всю работу по блокировке экрана (т.е. перехват ввода, предотвращение закрытия своих окон и тому подобные муторные вещи) блокировщик должен делать сам, БЕЗ ПОМОЩИ X-СЕРВЕРА. Потому и любая проблема в самом ли блокировщике или в тулките его может привести к презабавнейшим проблемам безопасности.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

21. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +1 +/
Сообщение от Аноним (??) on 19-Янв-15, 12:39 
> В рамках этой "архитектуры" блокировщик экрана это окно, просто окно и не
> более того. Всю работу по блокировке экрана (т.е. перехват ввода, предотвращение
> закрытия своих окон и тому подобные муторные вещи) блокировщик должен делать
> сам, БЕЗ ПОМОЩИ X-СЕРВЕРА. Потому и любая проблема в самом ли
> блокировщике или в тулките его может привести к презабавнейшим проблемам безопасности.

Wayland придет - порядок наведет!

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

57. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  –1 +/
Сообщение от Аноним (??) on 19-Янв-15, 23:20 
> Wayland придет - порядок наведет!

Mir придет - мир во всем мире наведет!

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

26. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +1 +/
Сообщение от Аноним (??) on 19-Янв-15, 13:09 
> ... блокировщик экрана это окно, просто окно и не более того. Всю работу по блокировке экрана (т.е. перехват ввода, предотвращение закрытия своих окон и тому подобные муторные вещи) блокировщик должен делать сам, БЕЗ ПОМОЩИ X-СЕРВЕРА.

А что Вам не нравится? Мухи отдельно, котлеты отдельно...
Если Ваша муха летает плохо, причем здесь котлета? :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

30. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 13:24 
Люди отдельно, мозги отдельно.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

32. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 13:27 
Соболезнуем...

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 13:29 
Проходите гражданин, по понедельникам не подаем.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 13:42 
Люди оснащенные мозгами, могут представить каким кластерфаком приходиться заниматься для блокировки экрана в иксах, почитав здесь (особенно доставляет вопрос номер 11, а также 17 и 24)

http://www.jwz.org/xscreensaver/faq.html

а вот здесь написано как это делают в kde:

http://blog.martin-graesslin.com/blog/2014/05/screenlocker-a.../

цитата:

"To explain the first problem we must remember that X11 is very bad from a security point of view. ... Though given the general problems of X11 it will never be possible to completely solve these two problems on X11."

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 14:30 
> Люди оснащенные мозгами, могут представить каким кластерфаком приходиться заниматься для блокировки экрана в иксах...

Тебя удивляет, что для того, чтобы что-то делать хорошо, нужно иметь необходимый уровень компетенции?

> ...вопрос номер 11, а также 17 и 24...

Особенно умиляет номер 17 с перечислением "страшных бэкдоров". В нормально собранном дистрибутиве использование этих "бэкдоров" просто приведет в выбрасыванию на Login screen (окно авторизации) непосредственно или через перезагрузку. Выход в TTY также запрашивает пароль. А так - страшно, да. "Бэкдоры" ведь!

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

44. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  –1 +/
Сообщение от Аноним (??) on 19-Янв-15, 17:40 
> Тебя удивляет, что для того, чтобы что-то делать хорошо, нужно иметь необходимый уровень компетенции?

В данном случае "необходимый" уровень компетенции обусловлен исключительно идиотизмом архитектуры X11.

> Особенно умиляет номер 17 с перечислением "страшных бэкдоров".

Вы лучше 11 прокомментируйте, мякотка-то там.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

46. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +2 +/
Сообщение от Аноним (??) on 19-Янв-15, 19:26 
> Вы лучше 11 прокомментируйте, мякотка-то там.

Комментирую.
"Some window managers allow programs to pop windows above xscreensaver, and some do not."
Так и используйте те оконные менеджеры, которые не позволяют этого.
Всё. :)

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

52. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  –1 +/
Сообщение от Аноним (??) on 19-Янв-15, 22:27 
> А что Вам не нравится? Мухи отдельно, котлеты отдельно...
> Если Ваша муха летает плохо, причем здесь котлета? :)

При том, что иксы^Wкотлета позиционируется в качестве полноценного дисплейного серв^W^W^Wважного компонента мухи.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

59. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +1 +/
Сообщение от Аноним (??) on 20-Янв-15, 00:29 
Вы опять их смешали! :)

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

65. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 22-Янв-15, 16:03 
Так это что, скринсейвер в иксах работает по принципу винлокера?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

8. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +4 +/
Сообщение от iZEN (ok) on 19-Янв-15, 11:00 
Если можно загрузиться с LiveCD (LiveUSB), то по факту система не защищена. А тут рассмотрена совершенно другая проблема.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

29. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +1 +/
Сообщение от Аноним (??) on 19-Янв-15, 13:18 
В том то и дело, что проблема _физического_ доступа к компьютеру не может быть радикально решена _софтом_ в принципе.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

56. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 23:19 
> В том то и дело, что проблема _физического_ доступа к компьютеру не
> может быть радикально решена _софтом_ в принципе.

Физический доступ - понятие растяжимое. Слышал легенду про BadUSB? А у нее есть продолжение: возможно подломить usb 3G свисток. И сделать чтобы он прикинулся клавиатурой. USB - он универсальный, фигли. Так "физический" доступ может стать весьма и весьма ремотным.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от _KUL (ok) on 19-Янв-15, 13:53 
Наверно это единственный простой способ, чтобы сбросить пароль рута локального под виндой. В 8/2012 уже не прокатывает.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

64. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от KinderSurprise on 20-Янв-15, 10:24 
>[оверквотинг удален]
> экране ввода пароля в левом нижнем углу есть кнопка "Специальные возможности",
> из которой открывается меню запуска экранной клавиатуры, экранной лупы и т.п.
> По сути данная кнопка вызывает программу Utilman.exe, которую можно, загрузившись с
> любого лайв-сиди, удалить и её именем назвать cmd.exe, тогда при нажатии
> на экране ввода пароля в Windows 8 на кнупку специальных возможностей
> откроется коммандная строка с админскими правами. Дайте из неё команду net
> user <имя, которое вы и так видите на экране, просящее пароль>
> <новый пароль> - всё, логинимся под новым паролем и делаем что
> надо. Эти проблемы старые как мир, и очень часто я крайне
> рад, что они есть, без них было бы трудно.

А при чём здесь блокировщик экрана? Если вы со своим ЦД уже всё что пожелаете можете удалять, изменять. Если... >:-)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  –2 +/
Сообщение от Владими Владимирович on 19-Янв-15, 11:24 
Все просто, точнее в виде не требуется даже блокировать, чтобы ее испортить, взломать и т.п. там есть другие пути, которых еще не открыли в линуксе, т.к. в им пользуется слишком мало людей (я про десктоп). Следствие, как только линукс станет стольже популярен как винда его будут ломать, заражать вирусами и т.п. не сомнивайтесь, именно так и будет. А самыми вирусо устойчивыми и стабильными (от сбоев и дур) будут реактОС и КалбриОС.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

25. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от CheshireKot (ok) on 19-Янв-15, 12:57 
А самыми вирусо устойчивыми и стабильными (от сбоев и дур) будут реактОС...
/0
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

31. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +2 +/
Сообщение от тоже Аноним email(ok) on 19-Янв-15, 13:25 
Опять студни со старой методичкой!
Линукс-сервера уже давно в большинстве. Каждый из них при взломе или заражении выгоднее для хакера, чем сотни хомячковых машин на Винде. Однако ботнеты по-прежнему в основном состоят из тех машин, а не из тех серверов.
Когда находились дыры в ПО на серверах - они эксплуатировались почем зря, между прочим.
Сапиенти сат.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Xaionaro email(ok) on 19-Янв-15, 11:24 
> Объясните дураку, который никогда не писал заставки для линукса — чо за хрень? Почему у винды нету таких проблем с экраном блокировки, а у иксов есть?

Много таких уязвимостей нашли у slock? Просто нужно один раз включить мозг и выбрать для себя разумный вариант (из кучи всевозможных альтернатив).

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +2 +/
Сообщение от Аноним (??) on 19-Янв-15, 11:47 
> Много таких уязвимостей нашли у slock? Просто нужно один раз включить мозг
> и выбрать для себя разумный вариант (из кучи всевозможных альтернатив).

Когда его начнут использовать более чем полтора анонимуса, найдут обязательно.

"Тут всю систему менять надо"

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Xaionaro email(ok) on 19-Янв-15, 12:17 
>> Много таких уязвимостей нашли у slock? Просто нужно один раз включить мозг
>> и выбрать для себя разумный вариант (из кучи всевозможных альтернатив).
> Когда его начнут использовать более чем полтора анонимуса, найдут обязательно.

1. Его уже использует больше, чем «полтора анонимуса».
Данные с ftp.ru.debian.org:

$ zgrep -c suckless-tools vsftpd.log.* | awk -F ':' 'BEGIN{count=0} {count+=$2} END{print count}'
36
$ zgrep -c chromium vsftpd.log.* | awk -F ':' 'BEGIN{count=0} {count+=$2} END{print count}'
456
$ zgrep -c tmux vsftpd.log.* | awk -F ':' 'BEGIN{count=0} {count+=$2} END{print count}'
59


2. В нём порядками меньше поверхность для атаки, чем в gtk-3 и в ПО на нём основанном.

$ wc -l slock.c 
290 slock.c

3. И это далеко не единственный пример. Например, много ли таких уязвимостей было обнаружено в том же xscreensaver-е [1]? А также как давно была обнаружена последняя уязвимость из известных?

[1] http://www.cvedetails.com/vulnerability-list/vendor_id-1861/...

Если будешь выбирать свистелки-перделки вместо реального функционала, то будешь получать subj-и.

А для тех, кто доверяет Google-у, есть например http://www.opennet.dev/opennews/art.shtml?num=40086

В общем, по пользователям subj-а — классический случай ССЗБ и только-то.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 12:41 
> 1. Его уже использует больше, чем «полтора анонимуса».
> 2. В нём порядками меньше поверхность для атаки, чем в gtk-3.
>
$ wc -l slock.c 
> 290 slock.c

Объектом атаки в данном случае является не только блокировщик, но также иксы и запущенные графические приложения. Задача блокировщика - по-максимуму подстелить соломку и перехватить все, что возможно.

Так что здесь все наоборот - чем меньше кода, тем _больше_ поверхность для атаки.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Xaionaro email(ok) on 19-Янв-15, 12:48 
>> 1. Его уже использует больше, чем «полтора анонимуса».
>> 2. В нём порядками меньше поверхность для атаки, чем в gtk-3.
>>
$ wc -l slock.c 
>> 290 slock.c

> Объектом атаки в данном случае является не только блокировщик, но также иксы
> и запущенные графические приложения. Задача блокировщика - по-максимуму подстелить соломку и перехватить все, что возможно.

Как раз-таки в данном случае атака производилась на код не X-сервера [1].

[1] https://github.com/RavetcoFX/cinnamon-screensaver/commit/891...

Да и вообще, если почитать новость, то это и так становится очевидным.

> Так что здесь все наоборот - чем меньше кода, тем _больше_ поверхность
> для атаки.

Код — это и есть поверхность для атаки (как подсказывает Кэп). А по поводу размера кода, требуемого для параноидальной блокировки (с точки зрения Google), можете посмотреть в тот же [2]. Чуть меньше чем тот монстр-файл в cinnamon-screensaver, в котором устраняли "уязвимость" очередным гвоздём, не так ли?

[2] https://github.com/google/xsecurelock

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 13:12 
> Как раз-таки в данном случае атака производилась на код не X-сервера

Невозможно атаковать то чего нет.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

51. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  –1 +/
Сообщение от Аноним (??) on 19-Янв-15, 22:25 
> Как раз-таки в данном случае атака производилась на код не X-сервера [1].

Ага, а на тот код, который должен закрывать дыры в X-сервере. И что?

> Код — это и есть поверхность для атаки (как подсказывает Кэп).

В случае Linux/Unix, такой поверхностью является чуть ли не весь графический стек.
(За исключением Mac OS X, где иксы уже давно выкинуты.)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

53. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Xaionaro (ok) on 19-Янв-15, 22:29 
>> Как раз-таки в данном случае атака производилась на код не X-сервера [1].
> Ага, а на тот код, который должен закрывать дыры в X-сервере. И
> что?

1. Дочитайте абзац (про "Код -- это и есть ...") до конца, пожалуйста.
2. Это была не дыра Xorg, а дыра самого screensaver-а. Посмотрите как делают другие locker-ы, там нет таких гвоздей, как пришлось делать в данном patch-е.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

60. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 20-Янв-15, 00:45 
>> Код — это и есть поверхность для атаки (как подсказывает Кэп).
>  В случае Linux/Unix, такой поверхностью является чуть ли не весь графический стек.

Какой ужас! Мы все умрем! :-(

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

61. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 20-Янв-15, 00:56 
> В случае Linux/Unix, такой поверхностью является чуть ли не весь графический стек.
> (За исключением Mac OS X, где иксы уже давно выкинуты.)

Ждем доказательств на уровне технической аргументации о неуязвимости графического стека макоси. :)

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

41. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 14:38 
> "Тут всю систему менять надо"

Ага, и главное - "до основанья, а затем...". Задорный максимализм на марше. :)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

45. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 17:41 
Унылый старперизм ничуть не лучше.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

49. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 22:21 
> Унылый старперизм ничуть не лучше.

Лучше, т.к. позволяет не думать. Думать - вредно, от этого голова болит.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

14. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +3 +/
Сообщение от ццц on 19-Янв-15, 12:02 
при чем тут линукс?

для убунты наваяли чудо-юдо lock - а теперь ошибки исправляют :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 12:27 
Причем тут Ubuntu если написано gnome-screensaver
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 12:38 
> Причем тут Ubuntu если написано gnome-screensaver

При том, что в других дистрах эту дыру закрыли года назад.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

54. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 23:07 
> Почему у винды нету таких проблем с экраном блокировки

Я однажды сказочно поимел права SYSTEM в винде. Спасибо довеску на логон скрине - разработчики немного прошляпили и я смог всего ничего: открыть диалог выбора файла. Который оттуда - с правами SYSTEM. Если кто не в курсе - SYSTEM в винде даже круче чем админ...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

36. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Michael Shigorin email(ok) on 19-Янв-15, 13:53 
Шо, опять?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 19-Янв-15, 14:53 
Ещё одна причина использовать для блокировки экрана vlock.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Stax (ok) on 19-Янв-15, 21:45 
Идея неплохая, но тоже можно обойти: нажимаем Ctrl-Shift-T и оп-па! В терминале новая незаблокированная вкладка, в ней пишем killall -9 vlock, возвращаемся в исходную - а vlock слетел.
Даже новый терминал открывать не потребовалось.

Не совместим vlock с современными реалиями типа терминалов с вкладками, screen, tmux и прочим. vlock -a вообще отказывается работать во вкладке исковой терминалке или внутри screen'а.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

58. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +/
Сообщение от Аноним (??) on 20-Янв-15, 00:26 
Имелся в виду vlock -ans. И разумеется, он должен висеть на горячей клавише и выполняться от рута. Или можно использовать physlock, который ставится с SUID-битом и потому не требует рута.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

47. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +1 +/
Сообщение от Аноним (??) on 19-Янв-15, 19:28 
>Для пользователей Ubuntu 14.04 LTS выпущено обновление пакета gtk+3.0 (3.10.8-0ubuntu1.4), в котором устранена ошибка, которую можно использовать для получения доступа к заблокированному сеансу пользователя без ввода пароля.
>Для GTK+ исправление было представлено ещё в январе прошлого года и было в августе применено для пакетов Debian и Fedora.

Неужели после такого могут быть психически здоровые люди, которые советуют ставить Ubuntu LTS вместо Debian?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  –2 +/
Сообщение от Аноним (??) on 19-Янв-15, 22:22 
> Неужели после такого могут быть психически здоровые люди, которые советуют ставить Ubuntu  LTS вместо Fedora?

// fixed

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

55. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +1 +/
Сообщение от Аноним (??) on 19-Янв-15, 23:08 
Опеннет приветствует участников Специальной олимпиады!
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

62. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  –1 +/
Сообщение от commiethebeastie (ok) on 20-Янв-15, 08:17 
Неужели после такого могут быть психически здоровые люди, которые советуют ставить Linux вместо Windows?
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

63. "В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обой..."  +1 +/
Сообщение от тоже Аноним email(ok) on 20-Янв-15, 08:25 
Неужели после такого могут быть психически здоровые люди?
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру