Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties
Submitter: Spider.007

X.Org, dat voor veel Linux-distributies als displayserver wordt gebruikt, bevat een opmerkelijk beveiligingsprobleem. Een screensaver met wachtwoord zou eenvoudig omzeild kunnen worden door een toetscombinatie in te drukken.

Uit een blogpost op een Franse site blijkt dat in X.org 1.11 en hoger een debug-optie opeens standaard is ingeschakeld. De optie maakt het onder meer mogelijk om programma's die de muis en het toetsenbord 'grabben', te sluiten, en is ingebouwd voor testdoeleinden. Het is onduidelijk waarom de optie nu opeens standaard is ingeschakeld, maar zeker is wel dat dit ongewenste gevolgen heeft.

Veel screensaver-software van Linux werkt namelijk door een applicatie fullscreen weer te geven en deze alle inkomende keyboard- en mouse-events te laten grabben. Wanneer beweging wordt gedetecteerd, kan de screensaver-software twee dingen doen: onmiddelijk de desktop weer weergeven of, als de screensaver zo is ingesteld, een gebruiker een wachtwoord laten intypen.

Bij dat laatste gaat het fout wanneer de debug-optie is ingeschakeld. Door de toetscombinatie ctrl+alt+f10 in te drukken worden alle actieve grabs onschadelijk gemaakt en door ctrl+alt+f11 in te drukken worden alle programma's gesloten die de muis of het toetsenbord opeisen. Daaronder valt dus ook de screensaver als deze is ingeschakeld.

In de praktijk kan daardoor de computer van iemand die via een screensaver zijn computer heeft beveiligd, eenvoudig worden omzeild. Daarvoor moet een computer wel fysiek toegankelijk zijn en aanstaan, maar bijvoorbeeld in kantoor- of schoolomgevingen kan de 'kwetsbaarheid' gevaar opleveren.

Linux-fansite Phoronix heeft de kwetsbaarheid kunnen reproduceren. Onder meer komende versies van Ubuntu, Debian, Arch Linux en Gentoo zouden kwetsbaar zijn. De nieuwe releases van de desktopomgevingen Gnome en KDE bevatten de software al. Overigens zijn veel Linux-distributies van plan om X.org in te ruilen voor de nieuwe displayserver Wayland, maar die overstap is nog niet gemaakt.

Moderatie-faq Wijzig weergave

Reacties (50)

Bij mij werken de combinaties met functietoetsen niet. (Arch Linux)

Hier is het echter wél mogelijk via CTRL+ALT+* (numeriek toetsenbord)

Edit: Voor Arch Linux staat al een fix in de [testing] repository, door xkeyboard-config daaruit te updaten is dit probleem opgelost. Anders nog even wachten tot hij naar [extra] komt.

[Reactie gewijzigd door Sorcix op 19 januari 2012 18:00]

Wachten tot je mirror synchroniseert, want hij zit alweer even in [extra]. Dan moet je nog wel even xkb map resetten.

https://bbs.archlinux.org/viewtopic.php?id=133858
Klopt, een van onze maintainers heeft snel een "hacky fix" uitgebracht die de keybindings uit xkeyboard-config sloopt. Als je deze debug functies alsnog wilt gebruiken zal je het weer toe moeten voegen als keybinding.
Is overigens net zoiets als CTRL+ALT+Backspace die destijds eerst standaard is uitgeschakeld en later is verplaatst naar een keybinding die je moet maken in je keymap.
Onder meer komende versies van Ubuntu, Debian, Arch Linux en Gentoo zouden kwetsbaar zijn. De nieuwe releases van de desktopomgevingen Gnome en KDE bevatten de software al.
ehm..? Wat bedoellen jullie hiermee? De nieuwe KDE heeft helemaal geen optie voor ctrl+alt+f11 ... dat is X11, niet KDE! En ik gok dat gnome dat ook niet heeft.

Of bedoellen jullie iets totaal anders?
De screensavers worden in de desktop omgevingen geimplementeerd. KDE heeft daar zijn eigen code voor. Gnome andere. Zoals eerder aangehaald, vanaf 4.9 wordt er geen gebruik meer gemaakt van het X.org mechanisme in KDE.
Je zegt veel, maar ik heb nog steeds geen idee wat er met het vetgedrukte stukje in me quote bedoeld wordt.. Welke software bevatten ze?
Dan klopt er helemaal niets van! KDE en gnome bevatten geen Xorg.
KDE en gnome draaien op xorg
Je vraagt wat ze ermee bedoelen, daar geef ik antwoord op. Dat ze het misschien niet juist hebben verwoord kan ik niets aan doen. Daar kun je ergens op het forum een melding van maken.
Oeh, burn. Dat is wel een forse kink in de kabel voor de veiligheidsreputatie van Linux op de desktop.
Net niet: door de openheid van het systeem is dit snel aan het licht gekomen, én reeds opgelost! In Arch Linux staat de fix al op de repositories, dus kan je de update gewoon even binnenhalen. ;)

Problemen als deze tonen aan dat het opensource idee qua beveiliging werkt, toch in situaties als deze.

[Reactie gewijzigd door Sorcix op 19 januari 2012 18:05]

Snel? X.org 1.11.0 is gereleased op 26-8-2011, dat is dus al ruim vier maanden geleden.
(http://lists.freedesktop....e/2011-August/001729.html)
De ontdekker geeft ook aan er toevallig tegen aan gelopen te zijn, het was dus meer geluk dan wijsheid, en de dug had er nog veel langer in kunnen zitten.
dug
:P

Ontopic:
Wel goed dat dit redelijk snel gepatched is.
Ja, maar het zit in de 'komende versies van' de populaire distro's, dus voor de meeste mensen is er nog niks aan de hand.
De meeste bugs worden 'toevallig' gespot vziw.
Fedora 16 werk het ook al niet meer! :)

Open-source WIN!
Hier ook Fedora 16, maar de combinatie CTRL + ALT + * werkt wél. Voorlopig dus even uitloggen tot de fix er is.
Precies, en dat is het mooie van een open source systeem als dit: als er ergens iets misgaat kan het ook snel gerepareerd worden. Dit zie ik Microsoft nog niet zo snel doen (een fix opleveren).
Hoezo? Ze hebben in het verleden vaak genoeg 0-day exploits opgelost. Dit was een paar jaar geleden nog gedaan (en in de tussentijd vast ook nog een keer). Toen kwam er een patch uit tussen kerst en oud-en-nieuw, of net na het nieuwe jaar.

Ik heb deze 'bug' op m'n Debian Sid geprobeerd, en idd, ctrl+alt+* sluit m'n screensaver. F11 zoals in de tekst staat klopt niet, want die brengt mij naar TTY11, de meeste distro's doen dit.


Edit:
Sid had donderdag al een update gekregen van xserver-xorg-core en xserver-common om dit probleem op te lossen. M'n laptop had die update nog niet, vandaar dat het nog werkte.

[Reactie gewijzigd door Hero of Time op 22 januari 2012 22:01]

Ik zie het probleem niet echt, vergrendelen kan altijd als je de computer moet verlaten. Screensavers waren bedacht om het beeldscherm te behoeden van inbranden, als je een computer niet toegankelijk wilt hebben moet je hem ook niet onbemand achter laten
Moet je uitloggen :)
Dit gaat ook over het vergrendelsysteem. De meeste mensen maken gebruik van dit systeem via de screensaver. Het artikel is wat krom in dat opzicht.
Zoals Dreamvoid zegt: Dreamvoid in 'nieuws: Screensaver-optie X.org bevat beveiligingsprobleem'

binnen (grote) bedrijven worden deze veel gebruikt.

Dat is tweeledig:
1) Informatiebeveiliging. Wanneer iemand van de computer wegloopt en deze vergeet te locken, dan zal de screensaver dit automatisch voor de gebruiker doen.
2) Branding. Zeker de grotere bedrijven hebben een "corporate" screensaver, met reclame- en promotieuitingen van het bedrijf.

Nu wordt desktoplinux binnen heel weinig corporate-omgevingen gebruikt, maar met dit soort schoonheidsfouten wordt het er ook niet aantrekkelijker op.
KDE 4.9 gaat geen gebruik meer maken van X-screensavers:
http://blog.martin-graesslin.com/blog/2011/11/work-not-done/

spijtig genoeg heeft hij de nieuwe implementatie van screensavers (waar ook veiligheidsproblemen in X.org werden aangehaald als 1 van de redenen) niet op tijd afgekregen voor 4.8.
As this is security related code I decided that the feature needs more time to mature and will be made ready to be integrated as soon as the freeze lifts for 4.9 development.
Niet voor 4.8, wel -voor- 4.9. Zodra er weer features aan de codebase toegevogd mogen worden zal hij het committen en er weer verder aan werken.
Als dit zo groot gat en het allleen voor testen is kun je er bijna donder op zeggen dat de komende ubuntu versie NIET kwestbaar is.
Zij patchen toch alles wat los en vast zit.
Hier onder gentoo ~amd64 ook last van deze bug (met CTRL-ALT-num*). Zag zojuist al een update langskomen voor x11-misc/xkeyboard-config en het is volgens mij gefixed :)
Het is belangrijk om op te merken dat de huidige 'stable' releases geen X.org met debug-mode bevatten, de volgende versie van Ubuntu (die nu nog een alpha stempel draagt), Debian testing/unstable bevatten dit.

Ik moet zeggen dat het feit dat er een debug feature aanstaat in alpha/beta software me op zich niet zo veel verbaast het is jammer, maar zolang het niet in iets zit dat als 'stable'/release wordt aangemerkt minder kritiek, dat is tenslotte het hele doel van software die wordt getest (uiteraard moet het dan wel netjes worden gemeld dat de feature nu aanstaat en wat de gevolgen zijn).

Als ik een systeem wil locken en niet wil dat iemand anders met "gebruiker wisselen"/"andere gebruiker" zichzelf kan aanmelden ga ik altijd naar een virtual console (ctrl+alt+f[1-6] op de meeste systemen) en draai ik "vlock -a", daarmee gaat de console op slot op een manier dat er niet van console kan worden gewisseld en alleen ikzelf of root de vergrendeling kunnen opheffen.
Gelukkig dat de gemiddelde X.org ontwikkelaar geen enkele moeite doet om zijn code te laten werken op niet-Linux platformen alvorens het te pushen, anders zou ik er ook last van gehad hebben ;).
Gebruikt OS-X nou ook nog X.org voor het windowing systeem? Er is wel een apart X11 window system beschikbaar.
Nee, apple heeft een eigen x-server, je kunt Xorg wel genest draaien (maar dan heb je natuurlijk geen last van deze bug).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True