URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 89656
[ Назад ]
Исходное сообщение
"Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."
Отправлено opennews , 17-Апр-13 15:26 
Опубликованы (http://lists.x.org/archives/xorg-announce/2013-April/002200....) внеплановые обновления X.Org Server 1.14.1 и 1.13.4 (http://lists.x.org/archives/xorg-announce/2013-April/002199....), в которых исправлено несколько ошибок в системе сборки и устранена уязвимость (http://who-t.blogspot.ru/2013/04/cve-2013-1940-vt-switched-s...) (СVE-2013-1940 (https://bugzilla.redhat.com/show_bug.cgi?id=950438)), которая может привести незаметной подстановке событий ввода.

В частности, в момент неактивности запущенного X-сервера, например, когда пользователь перешёл в виртуальный терминал, атакующий может подключить к компьютеру внешнее устройство ввода и отправить с него события ввода. При возврате в графический сеанс данные события будут воспроизведены в текущем сеансе. Для наглядной демонстрации уязвимости можно запустить текстовый редактор, перейти в виртуальную консоль, подключить внешнюю клавиатуру и набрать текст. После возврата в графический сеанс из консоли, данный текст появится в окне редактора.


URL: http://lists.x.org/archives/xorg-announce/2013-April/002200....
Новость: http://www.opennet.ru/opennews/art.shtml?num=36719

Содержание
Сообщения в этом обсуждении
"Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."
Отправлено ананис , 17-Апр-13 15:38 
>После возврата в графический сеанс из консоли, данный текст появится в окне редактора.

а ведь можно и "Alt+F2 rm -fr $HOME/*" однако. дыра и впрямь серьезная, да еще и проверено работает на Arch current

"Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."
Отправлено Семен , 17-Апр-13 17:37 
> "Alt+F2 rm -fr $HOME/*" -  проверено работает на Arch current

На своей рабочей машине проверил?

"Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."
Отправлено ананис , 17-Апр-13 18:04 
нет. сочетание Alt+F2 не передалось иксам, ибо переключает tty :)
"Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."
Отправлено cema , 17-Апр-13 15:38 
>В частности, в момент неактивности запущенного X-сервера, например, когда пользователь перешёл в виртуальный терминал, атакующий может подключить к компьютеру внешнее устройство ввода и отправить с него события ввода. При возврате в графический сеанс данные события будут воспроизведены в текущем сеансе. Для наглядной демонстрации уязвимости можно запустить текстовый редактор, перейти в виртуальную консоль, подключить внешнюю клавиатуру и набрать текст. После возврата в графический сеанс из консоли, данный текст появится в окне редактора.

Может быть это был не баг, а фитча?

"Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."
Отправлено Аноним , 17-Апр-13 16:20 
Более того, злоумышленник может подключить внешнюю клавиатура и ввести всё что угодно без всяких переключений в виртуальный терминал!
"Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."
Отправлено ананис , 17-Апр-13 16:36 
"внутрикорпоративная безопасность" вам о чем-нибудь говорит? дыра работает, даже если ты в консоли не залогинен.
"Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."
Отправлено Аноним , 17-Апр-13 17:44 
У меня при выходе из спящего режима перед экраном блокировки секунды 2-3 рабочий стол висит.
Оффтоп, конечно, но все равно интересный факт.
"Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."
Отправлено kotfantazer , 17-Апр-13 23:30 
и у меня в федоре аналогично, и всегда так было.