Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » OS & kernel » Linux » Screensaver-optie X.org bevat beveiligingsprobleem

Screensaver-optie X.org bevat beveiligingsprobleem

Door Joost Schellevis, donderdag 19 januari 2012 17:48
Submitter: Spider.007, views: 16.956

X.Org, dat voor veel Linux-distributies als displayserver wordt gebruikt, bevat een opmerkelijk beveiligingsprobleem. Een screensaver met wachtwoord zou eenvoudig omzeild kunnen worden door een toetscombinatie in te drukken.

Uit een blogpost op een Franse site blijkt dat in X.org 1.11 en hoger een debug-optie opeens standaard is ingeschakeld. De optie maakt het onder meer mogelijk om programma's die de muis en het toetsenbord 'grabben', te sluiten, en is ingebouwd voor testdoeleinden. Het is onduidelijk waarom de optie nu opeens standaard is ingeschakeld, maar zeker is wel dat dit ongewenste gevolgen heeft.

Veel screensaver-software van Linux werkt namelijk door een applicatie fullscreen weer te geven en deze alle inkomende keyboard- en mouse-events te laten grabben. Wanneer beweging wordt gedetecteerd, kan de screensaver-software twee dingen doen: onmiddelijk de desktop weer weergeven of, als de screensaver zo is ingesteld, een gebruiker een wachtwoord laten intypen.

Bij dat laatste gaat het fout wanneer de debug-optie is ingeschakeld. Door de toetscombinatie ctrl+alt+f10 in te drukken worden alle actieve grabs onschadelijk gemaakt en door ctrl+alt+f11 in te drukken worden alle programma's gesloten die de muis of het toetsenbord opeisen. Daaronder valt dus ook de screensaver als deze is ingeschakeld.

In de praktijk kan daardoor de computer van iemand die via een screensaver zijn computer heeft beveiligd, eenvoudig worden omzeild. Daarvoor moet een computer wel fysiek toegankelijk zijn en aanstaan, maar bijvoorbeeld in kantoor- of schoolomgevingen kan de 'kwetsbaarheid' gevaar opleveren.

Linux-fansite Phoronix heeft de kwetsbaarheid kunnen reproduceren. Onder meer komende versies van Ubuntu, Debian, Arch Linux en Gentoo zouden kwetsbaar zijn. De nieuwe releases van de desktopomgevingen Gnome en KDE bevatten de software al. Overigens zijn veel Linux-distributies van plan om X.org in te ruilen voor de nieuwe displayserver Wayland, maar die overstap is nog niet gemaakt.

Volgende 18:12 Kodak begint patentenzaak om Samsung Galaxy Tab
Vorige 17:13 Sneller algoritme voor Fourier-transformaties ontwikkeld
Advertentie

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 50 reacties zichtbaar500 Off-topic / Irrelevant: 47 reacties zichtbaar47+1 On-topic: 25 reacties zichtbaar25+2 Informatief: 3 reacties zichtbaar3+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door Sorcix, donderdag 19 januari 2012 17:52

Score: 2
Bij mij werken de combinaties met functietoetsen niet. (Arch Linux)

Hier is het echter wél mogelijk via CTRL+ALT+* (numeriek toetsenbord)

Edit: Voor Arch Linux staat al een fix in de [testing] repository, door xkeyboard-config daaruit te updaten is dit probleem opgelost. Anders nog even wachten tot hij naar [extra] komt.

[Reactie gewijzigd door Sorcix op donderdag 19 januari 2012 18:00]

Door Raynman, donderdag 19 januari 2012 18:02

Score: 1
Wachten tot je mirror synchroniseert, want hij zit alweer even in [extra]. Dan moet je nog wel even xkb map resetten.

https://bbs.archlinux.org/viewtopic.php?id=133858

Door _JGC_, donderdag 19 januari 2012 18:16

Score: 1
Klopt, een van onze maintainers heeft snel een "hacky fix" uitgebracht die de keybindings uit xkeyboard-config sloopt. Als je deze debug functies alsnog wilt gebruiken zal je het weer toe moeten voegen als keybinding.
Is overigens net zoiets als CTRL+ALT+Backspace die destijds eerst standaard is uitgeschakeld en later is verplaatst naar een keybinding die je moet maken in je keymap.

Door upje, donderdag 19 januari 2012 17:54

Score: 0
Screensaver? Wie gebruikt dat nu nog?

Door Sorcix, donderdag 19 januari 2012 17:55

Score: 1
Het werkt bij alles dat je screen overneemt. Dus ook de simpele screen lock in Gnome of KDE. (Enkel volledig uitloggen is nog veilig dus)

Door Dreamvoid, donderdag 19 januari 2012 18:00

Score: 1
Bijna elk groot bedrijf heeft de policy dat je PC automatisch gelocked wordt na een bepaalde tijd (=een screensaver).

Door BartOtten, donderdag 19 januari 2012 18:17

Score: 0
Niet zoveel mensen met Linux meer. Ze zijn dan ook spuuglelijk (de meesten).

In KDE 4.9 wordt het hele screensaversysteem vervangen omdat het niet veilig is. Sommigen riepen dat er slechts een theoretisch gat in de implementatie van X.org zat....wel, die kregen dus ongelijk. Ben benieuwd of ze nu de feature naar voren pushen.

Door himlims_, donderdag 19 januari 2012 18:58

Score: 0
Het is geen KDE/of linux probleem. Het is niet slechts roepen of theoretisch, het IS een x.org probleem!
Er zit een kwetsbaarheid in Linux en andere besturingssystemen die Xorg gebruiken, waardoor een aanvaller met fysieke toegang de screensaver of andere vergrendeling kan omzeilen. X.Org Server, ook bekend als Xorg Server, XServer of gewoon Xorg, geeft toegang tot X Windows en zit in de meeste Unix-achtige besturingssystemen, zoals Linux en BSD-varianten. Het is ook in Sun Microsystems's Solaris aanwezig.
* himlims_ mompelt iets over een klepel


Daarlangs is het een ongelukkige samenhang van commits;
This API allowing to disable the keybinding per application was removed in 2008 with the XFree86-Misc extension (commit here and here). Later, the whole AllowClosedownGrabs code was removed (commit) and all reference to it was expunged from the man page (commit). I never knew about those key bindings and I doubt they were widely used anyway.

The functionality seems to have been reintroduced in 2011 (commit here and mailing list message here), but this time it's enabled by default, not clearly documented and not even configurable easily (or maybe i haven't found the right way to do it ?). All distros shipping xorg 1.11 (e.g. Arch Linux, Debian Wheezy) are vulnerable to this. I can reproduce the bug on Debian(Gnome 3), Arch Linux with gnome 3, slock and slimlock. KDE is also vulnerable according to a friend.
bron: http://gu1.aeroxteam.fr/2...-program-xorg-111-and-up/

[Reactie gewijzigd door himlims_ op donderdag 19 januari 2012 21:58]

Door MrSnowflake, vrijdag 20 januari 2012 07:10

Score: 0
Ik denk dat hij wou stellen dat de screensavers lelijk waren en dat daarom weinig mensen met een GNU/Linux systeem nog screensavers gebruiken.

Door Korben, donderdag 19 januari 2012 17:59

Score: 1
Oeh, burn. Dat is wel een forse kink in de kabel voor de veiligheidsreputatie van Linux op de desktop.

Door Sorcix, donderdag 19 januari 2012 18:05

Score: 1
Net niet: door de openheid van het systeem is dit snel aan het licht gekomen, én reeds opgelost! In Arch Linux staat de fix al op de repositories, dus kan je de update gewoon even binnenhalen. ;)

Problemen als deze tonen aan dat het opensource idee qua beveiliging werkt, toch in situaties als deze.

[Reactie gewijzigd door Sorcix op donderdag 19 januari 2012 18:05]

Door ameesters, donderdag 19 januari 2012 18:12

Score: 1
Fedora 16 werk het ook al niet meer! :)

Open-source WIN!

Door Tuxy, donderdag 19 januari 2012 18:20

Score: 1
Hier ook Fedora 16, maar de combinatie CTRL + ALT + * werkt wél. Voorlopig dus even uitloggen tot de fix er is.

Door Zer0, donderdag 19 januari 2012 18:27

Score: 2
Snel? X.org 1.11.0 is gereleased op 26-8-2011, dat is dus al ruim vier maanden geleden.
(http://lists.freedesktop....e/2011-August/001729.html)
De ontdekker geeft ook aan er toevallig tegen aan gelopen te zijn, het was dus meer geluk dan wijsheid, en de dug had er nog veel langer in kunnen zitten.

Door Alexxxxxxxxxx, donderdag 19 januari 2012 21:33

Score: 0
dug
:P

Ontopic:
Wel goed dat dit redelijk snel gepatched is.

Door thegve, donderdag 19 januari 2012 22:46

Score: 0
Ja, maar het zit in de 'komende versies van' de populaire distro's, dus voor de meeste mensen is er nog niks aan de hand.
De meeste bugs worden 'toevallig' gespot vziw.

Door SanderTje!, donderdag 19 januari 2012 23:47

Score: 0
Precies, en dat is het mooie van een open source systeem als dit: als er ergens iets misgaat kan het ook snel gerepareerd worden. Dit zie ik Microsoft nog niet zo snel doen (een fix opleveren).

Door Hero Of Time, zaterdag 21 januari 2012 11:14

Score: 1
Hoezo? Ze hebben in het verleden vaak genoeg 0-day exploits opgelost. Dit was een paar jaar geleden nog gedaan (en in de tussentijd vast ook nog een keer). Toen kwam er een patch uit tussen kerst en oud-en-nieuw, of net na het nieuwe jaar.

Ik heb deze 'bug' op m'n Debian Sid geprobeerd, en idd, ctrl+alt+* sluit m'n screensaver. F11 zoals in de tekst staat klopt niet, want die brengt mij naar TTY11, de meeste distro's doen dit.


Edit:
Sid had donderdag al een update gekregen van xserver-xorg-core en xserver-common om dit probleem op te lossen. M'n laptop had die update nog niet, vandaar dat het nog werkte.

[Reactie gewijzigd door Hero Of Time op zondag 22 januari 2012 22:01]

Door piratelv, donderdag 19 januari 2012 18:08

Score: 1
Als dit zo groot gat en het allleen voor testen is kun je er bijna donder op zeggen dat de komende ubuntu versie NIET kwestbaar is.
Zij patchen toch alles wat los en vast zit.

Door Wolfos, donderdag 19 januari 2012 18:09

Score: 0
Gebruikt OS-X nou ook nog X.org voor het windowing systeem? Er is wel een apart X11 window system beschikbaar.

Door blouweKip, donderdag 19 januari 2012 19:09

Score: 1
Nee, apple heeft een eigen x-server, je kunt Xorg wel genest draaien (maar dan heb je natuurlijk geen last van deze bug).

Door LoloftheRings, donderdag 19 januari 2012 18:09

Score: 0
X.org wordt ook in Mac OS X gebruikt als ik me niet vergis.

Door Hoopje, donderdag 19 januari 2012 18:28

Score: 1
Er wordt een X-server bij OS X meegeleverd, maar deze wordt normaliter niet gebruikt. Native OS X applicaties gebruiken Aqua. De X server wordt alleen gebruikt om sommige applicaties te kunnen gebruiken die geen Aqua-interface hebben (vaak zijn dat van Linux naar Mac OS X geporte applicaties).

Door Doever, donderdag 19 januari 2012 18:10

Score: 1
Ik zie het probleem niet echt, vergrendelen kan altijd als je de computer moet verlaten. Screensavers waren bedacht om het beeldscherm te behoeden van inbranden, als je een computer niet toegankelijk wilt hebben moet je hem ook niet onbemand achter laten

Door Damic, donderdag 19 januari 2012 18:19

Score: 1
Moet je uitloggen :)

Door BartOtten, donderdag 19 januari 2012 18:19

Score: 1
Dit gaat ook over het vergrendelsysteem. De meeste mensen maken gebruik van dit systeem via de screensaver. Het artikel is wat krom in dat opzicht.

Door Keypunchie, vrijdag 20 januari 2012 08:48

Score: 0
Zoals Dreamvoid zegt: Dreamvoid in 'nieuws: Screensaver-optie X.org bevat beveiligingsprobleem'

binnen (grote) bedrijven worden deze veel gebruikt.

Dat is tweeledig:
1) Informatiebeveiliging. Wanneer iemand van de computer wegloopt en deze vergeet te locken, dan zal de screensaver dit automatisch voor de gebruiker doen.
2) Branding. Zeker de grotere bedrijven hebben een "corporate" screensaver, met reclame- en promotieuitingen van het bedrijf.

Nu wordt desktoplinux binnen heel weinig corporate-omgevingen gebruikt, maar met dit soort schoonheidsfouten wordt het er ook niet aantrekkelijker op.

Door Terracotta, donderdag 19 januari 2012 18:13

Score: 1
KDE 4.9 gaat geen gebruik meer maken van X-screensavers:
http://blog.martin-graesslin.com/blog/2011/11/work-not-done/

spijtig genoeg heeft hij de nieuwe implementatie van screensavers (waar ook veiligheidsproblemen in X.org werden aangehaald als 1 van de redenen) niet op tijd afgekregen voor 4.8.

Door BartOtten, donderdag 19 januari 2012 18:21

Score: 1
As this is security related code I decided that the feature needs more time to mature and will be made ready to be integrated as soon as the freeze lifts for 4.9 development.
Niet voor 4.8, wel -voor- 4.9. Zodra er weer features aan de codebase toegevogd mogen worden zal hij het committen en er weer verder aan werken.

Door markg85, donderdag 19 januari 2012 18:14

Score: 2
Onder meer komende versies van Ubuntu, Debian, Arch Linux en Gentoo zouden kwetsbaar zijn. De nieuwe releases van de desktopomgevingen Gnome en KDE bevatten de software al.
ehm..? Wat bedoellen jullie hiermee? De nieuwe KDE heeft helemaal geen optie voor ctrl+alt+f11 ... dat is X11, niet KDE! En ik gok dat gnome dat ook niet heeft.

Of bedoellen jullie iets totaal anders?

Door Terracotta, donderdag 19 januari 2012 18:48

Score: 1
De screensavers worden in de desktop omgevingen geimplementeerd. KDE heeft daar zijn eigen code voor. Gnome andere. Zoals eerder aangehaald, vanaf 4.9 wordt er geen gebruik meer gemaakt van het X.org mechanisme in KDE.

Door markg85, donderdag 19 januari 2012 22:31

Score: 0
Je zegt veel, maar ik heb nog steeds geen idee wat er met het vetgedrukte stukje in me quote bedoeld wordt.. Welke software bevatten ze?

Door HakanX, vrijdag 20 januari 2012 00:11

Score: 0
X.org 1.11

Door markg85, vrijdag 20 januari 2012 11:33

Score: 0
Dan klopt er helemaal niets van! KDE en gnome bevatten geen Xorg.
KDE en gnome draaien op xorg

Door HakanX, vrijdag 20 januari 2012 13:28

Score: 0
Je vraagt wat ze ermee bedoelen, daar geef ik antwoord op. Dat ze het misschien niet juist hebben verwoord kan ik niets aan doen. Daar kun je ergens op het forum een melding van maken.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 18:12 Kodak begint patentenzaak om Samsung Galaxy Tab
Vorige 17:13 Sneller algoritme voor Fourier-transformaties ontwikkeld
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011