The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."  +/
Сообщение от opennews on 17-Апр-13, 15:26 
Опубликованы (http://lists.x.org/archives/xorg-announce/2013-April/002200....) внеплановые обновления X.Org Server 1.14.1 и 1.13.4 (http://lists.x.org/archives/xorg-announce/2013-April/002199....), в которых исправлено несколько ошибок в системе сборки и устранена уязвимость (http://who-t.blogspot.ru/2013/04/cve-2013-1940-vt-switched-s...) (СVE-2013-1940 (https://bugzilla.redhat.com/show_bug.cgi?id=950438)), которая может привести незаметной подстановке событий ввода.

В частности, в момент неактивности запущенного X-сервера, например, когда пользователь перешёл в виртуальный терминал, атакующий может подключить к компьютеру внешнее устройство ввода и отправить с него события ввода. При возврате в графический сеанс данные события будут воспроизведены в текущем сеансе. Для наглядной демонстрации уязвимости можно запустить текстовый редактор, перейти в виртуальную консоль, подключить внешнюю клавиатуру и набрать текст. После возврата в графический сеанс из консоли, данный текст появится в окне редактора.


URL: http://lists.x.org/archives/xorg-announce/2013-April/002200....
Новость: http://www.opennet.ru/opennews/art.shtml?num=36719

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."  +1 +/
Сообщение от ананис on 17-Апр-13, 15:38 
>После возврата в графический сеанс из консоли, данный текст появится в окне редактора.

а ведь можно и "Alt+F2 rm -fr $HOME/*" однако. дыра и впрямь серьезная, да еще и проверено работает на Arch current

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."  +2 +/
Сообщение от Семен (??) on 17-Апр-13, 17:37 
> "Alt+F2 rm -fr $HOME/*" -  проверено работает на Arch current

На своей рабочей машине проверил?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."  +1 +/
Сообщение от ананис on 17-Апр-13, 18:04 
нет. сочетание Alt+F2 не передалось иксам, ибо переключает tty :)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

3. "Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."  +/
Сообщение от cema (ok) on 17-Апр-13, 15:38 
>В частности, в момент неактивности запущенного X-сервера, например, когда пользователь перешёл в виртуальный терминал, атакующий может подключить к компьютеру внешнее устройство ввода и отправить с него события ввода. При возврате в графический сеанс данные события будут воспроизведены в текущем сеансе. Для наглядной демонстрации уязвимости можно запустить текстовый редактор, перейти в виртуальную консоль, подключить внешнюю клавиатуру и набрать текст. После возврата в графический сеанс из консоли, данный текст появится в окне редактора.

Может быть это был не баг, а фитча?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."  +/
Сообщение от Аноним (??) on 17-Апр-13, 16:20 
Более того, злоумышленник может подключить внешнюю клавиатура и ввести всё что угодно без всяких переключений в виртуальный терминал!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."  +/
Сообщение от ананис on 17-Апр-13, 16:36 
"внутрикорпоративная безопасность" вам о чем-нибудь говорит? дыра работает, даже если ты в консоли не залогинен.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."  +/
Сообщение от Аноним (??) on 17-Апр-13, 17:44 
У меня при выходе из спящего режима перед экраном блокировки секунды 2-3 рабочий стол висит.
Оффтоп, конечно, но все равно интересный факт.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвим..."  +/
Сообщение от kotfantazer (ok) on 17-Апр-13, 23:30 
и у меня в федоре аналогично, и всегда так было.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру