В Ubuntu 14.04 устранена уязвимость, допускающая вход в заблокированный экран без пароля Печать
30.04.14 20:17

В Ubuntu 14.04 устранена уязвимость, позволяющая без ввода пароля получить доступ к заблокированному сеансу пользователя при использовании оболочки Unity. Для входа без пароля в экране блокировки доступа достаточно несколько раз кликнуть правой кнопкой мыши в области индикаторов (например, на индикаторе заряда аккумулятора), после чего нажать Alt+F2 и получить возможность выполнения произвольной команды в заблокированном сеансе (например, запустить "compiz --replace"). Проблема вызвана отсутствием в Unity должной фильтрации клавиатурных комбинаций, что позволяет вызвать диалог выполнения команд (Alt+F2) даже в режиме блокировки экрана.

Интересно, что в выпущенном обновлении с устранением уязвимости исправлено лишь частное проявление проблемы. Практически сразу выявлен обходной путь эксплуатации, позволяющий вместо вызова диалога выполнения команд через Alt+F2, запустить эмулятор терминала комбинацией Ctrl+Alt+t. Более того, за несколько дней до релиза Ubuntu 14.04 была устранена другая проблема, позволяющая получить доступ к заблокированному сеансу без пароля через инициирование краха процесса хранителя экрана путём нажатия и удержания клавиши Enter.

Обратим отдельное внимание, что речь ведётся о двух разных уязвимостях: проблема с крахом была устранена в бета-версии до релиза, а проблемы с горячими клавишами присутствуют в релизе.

Дополнение: Несколько минут назад вышло обновление пакетов с устранением проблемы с Ctrl+Alt+t. Также устранена ещё одна уязвимость в индикаторе, отображающем дату и время. Уязвимость позволяет запустить браузер с экрана начального входа в систему с правами unity-greeter.

  1. Главная ссылка к новости (http://www.omgubuntu.co.uk/2014/04/ubunt...)
  2. OpenNews: Утечка паролей при переключении пользователей GNOME в Fedora 20
  3. OpenNews: Уязвимость, позволяющая обойти парольную защиту хранителя экрана GNOME
Тип: Проблемы безопасности
Ключевые слова: ubuntu, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.2, anonymus, 23:38, 30/04/2014 [ответить] [смотреть все] +6 +/
Причём здесь убунту? Это баг в юнити. Я вот пользуюсь xscreensaver и проблем не знаю. У них в помощи так и было написано "один из немногих корректно реализованных локеров дисплея, чистый и короткий код, проверенный временем". Я думал они шутят, а оказалось всерьёз.
 
    3.51, robux, 15:32, 01/05/2014 [^] [ответить] [смотреть все] +/
Далeко нe каждая убунта содeржит юнити Напримeр, в моeй лубунтe юнити дажe нe п... весь текст скрыт [показать]
 
  4.55, Sluggard, 18:34, 01/05/2014 [^] [ответить] [смотреть все]  +1 +/
А ничего, что у тебя Lubuntu, а не Ubuntu Кончай наркоманить ... весь текст скрыт [показать]
image
 
  5.68, gh, 07:56, 03/05/2014 [^] [ответить] [смотреть все]  +/
а юнити нет нигде кроме убунты, и без неё она не существует.
 
2.71, Аноним, 22:17, 04/05/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/ 
1.4, inkvizitor68sl, 00:00, 01/05/2014 [ответить] [смотреть все]  +1 +/ Что-то у них там баг на баге.
Я вот напоролся на баг, что если у пользователя пароль с символами ! @ # - им нельзя залогиниться в lightdm.
 
  2.18, Аноним, 08:28, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +2 +/
 
  3.30, EuPhobos, 09:57, 01/05/2014 [^] [ответить] [смотреть все]  +5 +/
Так баг пофиксили, теперь не сможешь ... весь текст скрыт [показать]
В Ubuntu 14.04 устранена уязвимость, допускающая вход в заблокированный экран без пароля
 
1.5, paulus, 01:18, 01/05/2014 [ответить] [смотреть все]  +/ Да они как к хранителю экрана перед релизом полезли, так и нашкодили... до сих пор разгребают. В дополнение не работает "gnome-screensaver-command -d", а на WM где постоянно вылазит хранитель это раздражает.
  1.7, RigoN, 01:46, 01/05/2014 [ответить] [смотреть все]  +3 +/ Есть gnome, kde сборки, так что всегда есть выбор. А на unity лет так через 5 посмотрим, если будет жить, конечно....А что будет, когда начнут с X-ов на Mir соскакивать. а ведь не за горами сие чудо.
  1.10, Аноним, 02:52, 01/05/2014 [ответить] [смотреть все]  –4 +/
Мда, и после этого мы ругаем индусов на венде Венду с ног до головы потрошат, к... весь текст скрыт [показать]
 
  2.11, Аноним, 06:12, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +8 +/
Грустные и печальные M$ студни - это же замечательно! :-)
 
  3.36, PW, 12:53, 01/05/2014 [^] [ответить] [смотреть все]  –1 +/
Слава Монолиту ... весь текст скрыт [показать]
 
2.56, Sluggard, 18:38, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
171 Мне отвечают, что у них такое мнение, что меньше более у них, а больше мен... весь текст скрыт [показать] [показать ветку]
В Ubuntu 14.04 устранена уязвимость, допускающая вход в заблокированный экран без пароля  2.66, Ivan, 16:55, 02/05/2014 [^] [ответить] [смотреть все] [показать ветку]  –1 +/
Более-менее вылизывают - это когда через 13 лет существования системы находятс... весь текст скрыт [показать] [показать ветку]
 
1.12, Аноним, 07:32, 01/05/2014 [ответить] [смотреть все]  +2 +/
как-бы не удивлен не впервые у Убунту testing-же, Дебиана, в основе ... весь текст скрыт [показать]
 
  2.19, Аноним, 08:29, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  –2 +/
 
  3.63, Аноним, 23:30, 01/05/2014 [^] [ответить] [смотреть все]  +/
Да люди в какой-то момент перестают воспринимать новую информацию, как бы находя... весь текст скрыт [показать]
 
1.14, Zenitur, 07:44, 01/05/2014 [ответить] [смотреть все]  –5 +/
Я с 2010 года постоянно говорю об этом Правда, тогда не было Mint ... весь текст скрыт [показать]
 
  2.20, Аноним, 08:30, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +4 +/
 
  3.38, chinarulezzz, 13:15, 01/05/2014 [^] [ответить] [смотреть все]  +4 +/
говорить - не в багтрекер заходить ... весь текст скрыт [показать]
 
  4.42, Куяврег, 13:51, 01/05/2014 [^] [ответить] [смотреть все]  +1 +/
смутно подозреваю, что потеряно слово ворочать и ещё одно не помню какое ... весь текст скрыт [показать]
 
  5.49, anonymous, 15:24, 01/05/2014 [^] [ответить] [смотреть все]  +/
 
  6.67, Ivan, 17:02, 02/05/2014 [^] [ответить] [смотреть все]  +/
Нет, другое Глагол какой-то ... весь текст скрыт [показать]
 
1.15, ua9oas, 07:54, 01/05/2014 [ответить] [смотреть все]  –3 +/
А насколько сильно 12 04 изменилась за почти два года, когда она стала 12 04... весь текст скрыт [показать]
 
  2.21, Аноним, 08:31, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  –1 +/
Софт и кернел менее архаичные Из наиболее очевидных вещей в новых ядрах по умо... весь текст скрыт [показать] [показать ветку]
 
  3.57, Sluggard, 20:58, 01/05/2014 [^] [ответить] [смотреть все]  +/
Какое отношение к этому имеет Убунта Это заслуги ядерных и драйверовых разрабов... весь текст скрыт [показать]
image
 
1.16, the joker, 08:23, 01/05/2014 [ответить] [смотреть все]  –1 +/ Хватит копипастить бред. Мейнтейнер репозитория universe официально [['https://bugs.launchpad.net/ubuntu/+source/unity/+bug/1308572/comments/13' заявил]], что этот баг был в бете 14.04, его зарепортили и успели ПОФИКСИТЬ ПЕРЕД РЕЛИЗОМ. В 14.04 его нет. Какой-то мудак недообновился и стал кричать о баге, а другие мудаки подхватили. Ну, есть хоть кто-нибудь, у кого этот баг воспроизводится?

Короче, Мишаня, бросай эту новость фтопку революционного бронепоезда. Ибо.

 
  2.22, Аноним, 08:33, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
Ну, понимаешь, убунта же конкурент А ставить подножки конкурентам мутными по... весь текст скрыт [показать] [показать ветку]
 
  3.26, Аноним, 09:10, 01/05/2014 [^] [ответить] [смотреть все]  +3 +/
Этот как раз комментатор наводит панику, путая разные уязвимости Дыра именно в ... весь текст скрыт [показать]
 
  4.27, the joker, 09:36, 01/05/2014 [^] [ответить] [смотреть все]  +/
Виноват, каюсь ... весь текст скрыт [показать]
 
4.40, Аноним, 13:35, 01/05/2014 [^] [ответить] [смотреть все]  +/
Ок, тогда извиняюсь за подъе про конкурентов Просто раньше подобные не совсе... весь текст скрыт [показать]
 
  5.46, Michael Shigorin, 14:09, 01/05/2014 [^] [ответить] [смотреть все]  –1 +/
Их всегда стоит предъявлять на месте или почтой, если не отзываюсь а данную н... весь текст скрыт [показать]
image
 
4.54, vn971, 16:07, 01/05/2014 [^] [ответить] [смотреть все]  +/
Подтверждаю Дата добавления пакета, согласно changelog-у, 28 апреля 18 29 13 U... весь текст скрыт [показать]
 2.24, Аноним, 08:58, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +1 +/ 
  3.28, the joker, 09:36, 01/05/2014 [^] [ответить] [смотреть все]  +/
Виноват, каюсь ... весь текст скрыт [показать]
 
2.25, Аноним, 09:06, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +1 +/
Это две разные уязвимости Мейнтейнер отписался 28 апреля по поводу первой, про ... весь текст скрыт [показать] [показать ветку]
 
  3.29, the joker, 09:37, 01/05/2014 [^] [ответить] [смотреть все]  +/
Виноват, каюсь ... весь текст скрыт [показать]
 
2.43, Michael Shigorin, 14:02, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/image  

1.32, Аноним, 11:49, 01/05/2014 [ответить] [смотреть все]  –2 +/
там еще фича что если правой кнопкой в панель потыкать то разблокировать уже не ... весь текст скрыт [показать]
  1.34, alexey, 12:07, 01/05/2014 [ответить] [смотреть все]  +3 +/ 2014 год, а они повторяют ошибки windows nt 4.0
 
  2.41, Anonymus, 13:37, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
расслабься, это human nature каждое следующее поколение повторяет ошибки предыду... весь текст скрыт [показать] [показать ветку]
 
2.59, Нанобот, 21:25, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/ 
1.35, AlexYeCu, 12:35, 01/05/2014 [ответить] [смотреть все]  +/ Разработчики Федоры несколько лет назад похожим образом лопухнулись.
  1.37, iZEN, 13:11, 01/05/2014 [ответить] [смотреть все]  +/ И что? Как будто Single User Mode при загрузке по дефолту с паролем у всех.
image  
  2.39, Аноним, 13:29, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
Как будто кто-то не отключает блокировку Но как быть тем кто не отключает и s... весь текст скрыт [показать] [показать ветку]
 
  2.48, YetAnotherOnanym, 15:15, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/  1.45, Некто, 14:08, 01/05/2014 [ответить] [смотреть все]  +1 +/ Имхо сырой релиз. Поставил на одной из машин - глюки и тормоза. Откачу на 12.04
 
  2.47, какая разница, 14:37, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
Сырая у вас машина Поставил образ в дату релиза-все работает, ничего не отвалив... весь текст скрыт [показать] [показать ветку]
 
2.50, Отражение луны, 15:25, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
Хоть баги и есть, и релиз реально сырой, но уж чего, а лагов точно нет Бегает о... весь текст скрыт [показать] [показать ветку]
 
  3.52, какая разница, 15:37, 01/05/2014 [^] [ответить] [смотреть все]  +1 +/
Какие у вас баги Все работает Раскладка Так ее починили еще в 12 04 3 ... весь текст скрыт [показать]
 
  4.58, Отражение луны, 21:05, 01/05/2014 [^] [ответить] [смотреть все]  +/
В qt creatorе раскладка так и не переключается, как и во всех qtшных приложениях... весь текст скрыт [показать]
 
1.53, Аноним, 15:48, 01/05/2014 [ответить] [смотреть все]  +/
Для материнской убунты - это уязвимость Для семейства - обычное дело ... весь текст скрыт [показать]
  1.64, Аноним, 23:34, 01/05/2014 [ответить] [смотреть все]  +/
Ну не зря же обновление на следующий lts релиз приходит только после первого се... весь текст скрыт [показать]
 
Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=39685