Screensaver-optie X.org bevat beveiligingsprobleem

X.Org, dat voor veel Linux-distributies als displayserver wordt gebruikt, bevat een opmerkelijk beveiligingsprobleem. Een screensaver met wachtwoord zou eenvoudig omzeild kunnen worden door een toetscombinatie in te drukken.

Uit een blogpost op een Franse site blijkt dat in X.org 1.11 en hoger een debug-optie opeens standaard is ingeschakeld. De optie maakt het onder meer mogelijk om programma's die de muis en het toetsenbord 'grabben', te sluiten, en is ingebouwd voor testdoeleinden. Het is onduidelijk waarom de optie nu opeens standaard is ingeschakeld, maar zeker is wel dat dit ongewenste gevolgen heeft.

Veel screensaver-software van Linux werkt namelijk door een applicatie fullscreen weer te geven en deze alle inkomende keyboard- en mouse-events te laten grabben. Wanneer beweging wordt gedetecteerd, kan de screensaver-software twee dingen doen: onmiddelijk de desktop weer weergeven of, als de screensaver zo is ingesteld, een gebruiker een wachtwoord laten intypen.

Bij dat laatste gaat het fout wanneer de debug-optie is ingeschakeld. Door de toetscombinatie ctrl+alt+f10 in te drukken worden alle actieve grabs onschadelijk gemaakt en door ctrl+alt+f11 in te drukken worden alle programma's gesloten die de muis of het toetsenbord opeisen. Daaronder valt dus ook de screensaver als deze is ingeschakeld.

In de praktijk kan daardoor de computer van iemand die via een screensaver zijn computer heeft beveiligd, eenvoudig worden omzeild. Daarvoor moet een computer wel fysiek toegankelijk zijn en aanstaan, maar bijvoorbeeld in kantoor- of schoolomgevingen kan de 'kwetsbaarheid' gevaar opleveren.

Linux-fansite Phoronix heeft de kwetsbaarheid kunnen reproduceren. Onder meer komende versies van Ubuntu, Debian, Arch Linux en Gentoo zouden kwetsbaar zijn. De nieuwe releases van de desktopomgevingen Gnome en KDE bevatten de software al. Overigens zijn veel Linux-distributies van plan om X.org in te ruilen voor de nieuwe displayserver Wayland, maar die overstap is nog niet gemaakt.

Door Joost Schellevis

Redacteur

Feedback • 19-01-2012 17:48
50 • submitter: Spider.007

19-01-2012 • 17:48

50 Linkedin

Submitter: Spider.007

Lees meer

Gnome zal Wayland-displayserver gaan gebruiken in toekomstige versies Nieuws van 13 maart 2013
Canonical werkt aan eigen displayserver en Unity Next Nieuws van 5 maart 2013
Wayland-displayserver stevent af op eerste stabiele versie Nieuws van 6 februari 2012
X.org-ontwikkelaars schetsen eerste ideeën voor X12 Nieuws van 16 oktober 2011
KDE-ontwikkelaars willen Wayland-windowmanager ondersteunen Nieuws van 7 augustus 2011
Ubuntu brengt eerste bètaversie van Natty Narwhal uit Nieuws van 1 april 2011
Ook Fedora wil Wayland-displayserver omarmen Nieuws van 15 november 2010
Nvidia: geen plannen voor ondersteunen Wayland-displayserver Nieuws van 9 november 2010
Intel en Nokia gaan samen aan mobiele apparaten werken Nieuws van 23 juni 2009
Meer producten en artikelen
Besturingssystemen Privacy Netwerk en systeembeheer Beveiliging Linux

Reacties (50)

-Moderatie-faq
50
47
25
3
0
16
Wijzig sortering
Sorcix
19 januari 2012 17:52
Bij mij werken de combinaties met functietoetsen niet. (Arch Linux)

Hier is het echter wél mogelijk via CTRL+ALT+* (numeriek toetsenbord)

Edit: Voor Arch Linux staat al een fix in de [testing] repository, door xkeyboard-config daaruit te updaten is dit probleem opgelost. Anders nog even wachten tot hij naar [extra] komt.

[Reactie gewijzigd door Sorcix op 19 januari 2012 18:00]

Raynman
@Sorcix19 januari 2012 18:02
Wachten tot je mirror synchroniseert, want hij zit alweer even in [extra]. Dan moet je nog wel even xkb map resetten.

https://bbs.archlinux.org/viewtopic.php?id=133858
_JGC_
@Sorcix19 januari 2012 18:16
Klopt, een van onze maintainers heeft snel een "hacky fix" uitgebracht die de keybindings uit xkeyboard-config sloopt. Als je deze debug functies alsnog wilt gebruiken zal je het weer toe moeten voegen als keybinding.
Is overigens net zoiets als CTRL+ALT+Backspace die destijds eerst standaard is uitgeschakeld en later is verplaatst naar een keybinding die je moet maken in je keymap.
markg85
19 januari 2012 18:14
Onder meer komende versies van Ubuntu, Debian, Arch Linux en Gentoo zouden kwetsbaar zijn. De nieuwe releases van de desktopomgevingen Gnome en KDE bevatten de software al.
ehm..? Wat bedoellen jullie hiermee? De nieuwe KDE heeft helemaal geen optie voor ctrl+alt+f11 ... dat is X11, niet KDE! En ik gok dat gnome dat ook niet heeft.

Of bedoellen jullie iets totaal anders?
Terracotta
@markg8519 januari 2012 18:48
De screensavers worden in de desktop omgevingen geimplementeerd. KDE heeft daar zijn eigen code voor. Gnome andere. Zoals eerder aangehaald, vanaf 4.9 wordt er geen gebruik meer gemaakt van het X.org mechanisme in KDE.
markg85
@Terracotta19 januari 2012 22:31
Je zegt veel, maar ik heb nog steeds geen idee wat er met het vetgedrukte stukje in me quote bedoeld wordt.. Welke software bevatten ze?
HakanX
@markg8520 januari 2012 00:11
X.org 1.11
markg85
@HakanX20 januari 2012 11:33
Dan klopt er helemaal niets van! KDE en gnome bevatten geen Xorg.
KDE en gnome draaien op xorg
HakanX
@markg8520 januari 2012 13:28
Je vraagt wat ze ermee bedoelen, daar geef ik antwoord op. Dat ze het misschien niet juist hebben verwoord kan ik niets aan doen. Daar kun je ergens op het forum een melding van maken.
Korben
19 januari 2012 17:59
Oeh, burn. Dat is wel een forse kink in de kabel voor de veiligheidsreputatie van Linux op de desktop.
Sorcix
@Korben19 januari 2012 18:05
Net niet: door de openheid van het systeem is dit snel aan het licht gekomen, én reeds opgelost! In Arch Linux staat de fix al op de repositories, dus kan je de update gewoon even binnenhalen. ;)

Problemen als deze tonen aan dat het opensource idee qua beveiliging werkt, toch in situaties als deze.

[Reactie gewijzigd door Sorcix op 19 januari 2012 18:05]

Zer0
@Sorcix19 januari 2012 18:27
Snel? X.org 1.11.0 is gereleased op 26-8-2011, dat is dus al ruim vier maanden geleden.
(http://lists.freedesktop....e/2011-August/001729.html)
De ontdekker geeft ook aan er toevallig tegen aan gelopen te zijn, het was dus meer geluk dan wijsheid, en de dug had er nog veel langer in kunnen zitten.
Alexxxxxxxxxx
@Zer019 januari 2012 21:33
dug
:P

Ontopic:
Wel goed dat dit redelijk snel gepatched is.
thegve
@Zer019 januari 2012 22:46
Ja, maar het zit in de 'komende versies van' de populaire distro's, dus voor de meeste mensen is er nog niks aan de hand.
De meeste bugs worden 'toevallig' gespot vziw.
ameesters
@Sorcix19 januari 2012 18:12
Fedora 16 werk het ook al niet meer! :)

Open-source WIN!
Anoniem: 311967
@ameesters19 januari 2012 18:20
Hier ook Fedora 16, maar de combinatie CTRL + ALT + * werkt wél. Voorlopig dus even uitloggen tot de fix er is.
SanderTje!
@Sorcix19 januari 2012 23:47
Precies, en dat is het mooie van een open source systeem als dit: als er ergens iets misgaat kan het ook snel gerepareerd worden. Dit zie ik Microsoft nog niet zo snel doen (een fix opleveren).
Hero of Time
@SanderTje!21 januari 2012 11:14
Hoezo? Ze hebben in het verleden vaak genoeg 0-day exploits opgelost. Dit was een paar jaar geleden nog gedaan (en in de tussentijd vast ook nog een keer). Toen kwam er een patch uit tussen kerst en oud-en-nieuw, of net na het nieuwe jaar.

Ik heb deze 'bug' op m'n Debian Sid geprobeerd, en idd, ctrl+alt+* sluit m'n screensaver. F11 zoals in de tekst staat klopt niet, want die brengt mij naar TTY11, de meeste distro's doen dit.


Edit:
Sid had donderdag al een update gekregen van xserver-xorg-core en xserver-common om dit probleem op te lossen. M'n laptop had die update nog niet, vandaar dat het nog werkte.

[Reactie gewijzigd door Hero of Time op 22 januari 2012 22:01]

Anoniem: 406740
19 januari 2012 18:10
Ik zie het probleem niet echt, vergrendelen kan altijd als je de computer moet verlaten. Screensavers waren bedacht om het beeldscherm te behoeden van inbranden, als je een computer niet toegankelijk wilt hebben moet je hem ook niet onbemand achter laten
Damic
@Anoniem: 40674019 januari 2012 18:19
Moet je uitloggen :)
BartOtten
@Anoniem: 40674019 januari 2012 18:19
Dit gaat ook over het vergrendelsysteem. De meeste mensen maken gebruik van dit systeem via de screensaver. Het artikel is wat krom in dat opzicht.
Keypunchie
@Anoniem: 40674020 januari 2012 08:48
Zoals Dreamvoid zegt: Dreamvoid in 'nieuws: Screensaver-optie X.org bevat beveiligingsprobleem'

binnen (grote) bedrijven worden deze veel gebruikt.

Dat is tweeledig:
1) Informatiebeveiliging. Wanneer iemand van de computer wegloopt en deze vergeet te locken, dan zal de screensaver dit automatisch voor de gebruiker doen.
2) Branding. Zeker de grotere bedrijven hebben een "corporate" screensaver, met reclame- en promotieuitingen van het bedrijf.

Nu wordt desktoplinux binnen heel weinig corporate-omgevingen gebruikt, maar met dit soort schoonheidsfouten wordt het er ook niet aantrekkelijker op.
Terracotta
19 januari 2012 18:13
KDE 4.9 gaat geen gebruik meer maken van X-screensavers:
http://blog.martin-graesslin.com/blog/2011/11/work-not-done/

spijtig genoeg heeft hij de nieuwe implementatie van screensavers (waar ook veiligheidsproblemen in X.org werden aangehaald als 1 van de redenen) niet op tijd afgekregen voor 4.8.
BartOtten
@Terracotta19 januari 2012 18:21
As this is security related code I decided that the feature needs more time to mature and will be made ready to be integrated as soon as the freeze lifts for 4.9 development.
Niet voor 4.8, wel -voor- 4.9. Zodra er weer features aan de codebase toegevogd mogen worden zal hij het committen en er weer verder aan werken.
piratelv
19 januari 2012 18:08
Als dit zo groot gat en het allleen voor testen is kun je er bijna donder op zeggen dat de komende ubuntu versie NIET kwestbaar is.
Zij patchen toch alles wat los en vast zit.
mdartu
19 januari 2012 18:33
Hier onder gentoo ~amd64 ook last van deze bug (met CTRL-ALT-num*). Zag zojuist al een update langskomen voor x11-misc/xkeyboard-config en het is volgens mij gefixed :)
Keeper of the Keys
19 januari 2012 19:15
Het is belangrijk om op te merken dat de huidige 'stable' releases geen X.org met debug-mode bevatten, de volgende versie van Ubuntu (die nu nog een alpha stempel draagt), Debian testing/unstable bevatten dit.

Ik moet zeggen dat het feit dat er een debug feature aanstaat in alpha/beta software me op zich niet zo veel verbaast het is jammer, maar zolang het niet in iets zit dat als 'stable'/release wordt aangemerkt minder kritiek, dat is tenslotte het hele doel van software die wordt getest (uiteraard moet het dan wel netjes worden gemeld dat de feature nu aanstaat en wat de gevolgen zijn).

Als ik een systeem wil locken en niet wil dat iemand anders met "gebruiker wisselen"/"andere gebruiker" zichzelf kan aanmelden ga ik altijd naar een virtual console (ctrl+alt+f[1-6] op de meeste systemen) en draai ik "vlock -a", daarmee gaat de console op slot op een manier dat er niet van console kan worden gewisseld en alleen ikzelf of root de vergrendeling kunnen opheffen.
TGEN
19 januari 2012 20:18
Gelukkig dat de gemiddelde X.org ontwikkelaar geen enkele moeite doet om zijn code te laten werken op niet-Linux platformen alvorens het te pushen, anders zou ik er ook last van gehad hebben ;).
Wolfos
19 januari 2012 18:09
Gebruikt OS-X nou ook nog X.org voor het windowing systeem? Er is wel een apart X11 window system beschikbaar.
blouweKip
@Wolfos19 januari 2012 19:09
Nee, apple heeft een eigen x-server, je kunt Xorg wel genest draaien (maar dan heb je natuurlijk geen last van deze bug).
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee