| |
В Ubuntu 14.04 устранена уязвимость, позволяющая без ввода пароля получить доступ к заблокированному сеансу пользователя при использовании оболочки Unity. Для входа без пароля в экране блокировки доступа достаточно несколько раз кликнуть правой кнопкой мыши в области индикаторов (например, на индикаторе заряда аккумулятора), после чего нажать Alt+F2 и получить возможность выполнения произвольной команды в заблокированном сеансе (например, запустить "compiz --replace"). Проблема вызвана отсутствием в Unity должной фильтрации клавиатурных комбинаций, что позволяет вызвать диалог выполнения команд (Alt+F2) даже в режиме блокировки экрана.
Интересно, что в выпущенном обновлении с устранением уязвимости исправлено лишь частное проявление проблемы. Практически сразу выявлен обходной путь эксплуатации, позволяющий вместо вызова диалога выполнения команд через Alt+F2, запустить эмулятор терминала комбинацией Ctrl+Alt+t. Более того, за несколько дней до релиза Ubuntu 14.04 была устранена другая проблема, позволяющая получить доступ к заблокированному сеансу без пароля через инициирование краха процесса хранителя экрана путём нажатия и удержания клавиши Enter.
Обратим отдельное внимание, что речь ведётся о двух разных уязвимостях: проблема с крахом была устранена в бета-версии до релиза, а проблемы с горячими клавишами присутствуют в релизе.
Дополнение: Несколько минут назад вышло обновление пакетов с устранением проблемы с Ctrl+Alt+t. Также устранена ещё одна уязвимость в индикаторе, отображающем дату и время. Уязвимость позволяет запустить браузер с экрана начального входа в систему с правами unity-greeter.
|
|
- Главная ссылка к новости (http://www.omgubuntu.co.uk/2014/04/ubunt...)
- OpenNews: Утечка паролей при переключении пользователей GNOME в Fedora 20
- OpenNews: Уязвимость, позволяющая обойти парольную защиту хранителя экрана GNOME
| Тип: Проблемы безопасности | Ключевые слова: ubuntu, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
|
1.2, anonymus, 23:38, 30/04/2014 [ответить] [смотреть все]
| +6 +/– |
Причём здесь убунту? Это баг в юнити. Я вот пользуюсь xscreensaver и проблем не знаю. У них в помощи так и было написано "один из немногих корректно реализованных локеров дисплея, чистый и короткий код, проверенный временем". Я думал они шутят, а оказалось всерьёз.
| | |
| 2.71, Аноним, 22:17, 04/05/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] [ к модератору] +/–
1.4, inkvizitor68sl, 00:00, 01/05/2014 [ответить] [смотреть все] +1 +/–
Что-то у них там баг на баге.
Я вот напоролся на баг, что если у пользователя пароль с символами ! @ # - им нельзя залогиниться в lightdm.
1.5, paulus, 01:18, 01/05/2014 [ответить] [смотреть все] +/–
Да они как к хранителю экрана перед релизом полезли, так и нашкодили... до сих пор разгребают. В дополнение не работает "gnome-screensaver-command -d", а на WM где постоянно вылазит хранитель это раздражает.
1.7, RigoN, 01:46, 01/05/2014 [ответить] [смотреть все] +3 +/–
Есть gnome, kde сборки, так что всегда есть выбор. А на unity лет так через 5 посмотрим, если будет жить, конечно....А что будет, когда начнут с X-ов на Mir соскакивать. а ведь не за горами сие чудо.
1.10, Аноним, 02:52, 01/05/2014 [ответить] [смотреть все] –4 +/–Мда, и после этого мы ругаем индусов на венде Венду с ног до головы потрошат, к... весь текст скрыт [ показать]
1.12, Аноним, 07:32, 01/05/2014 [ответить] [смотреть все] +2 +/–как-бы не удивлен не впервые у Убунту testing-же, Дебиана, в основе ... весь текст скрыт [ показать]
1.14, Zenitur, 07:44, 01/05/2014 [ответить] [смотреть все] –5 +/–Я с 2010 года постоянно говорю об этом Правда, тогда не было Mint ... весь текст скрыт [ показать]
1.15, ua9oas, 07:54, 01/05/2014 [ответить] [смотреть все] –3 +/– А насколько сильно 12 04 изменилась за почти два года, когда она стала 12 04... весь текст скрыт [ показать]
1.16, the joker, 08:23, 01/05/2014 [ответить] [смотреть все] –1 +/–
Хватит копипастить бред. Мейнтейнер репозитория universe официально [['https://bugs.launchpad.net/ubuntu/+source/unity/+bug/1308572/comments/13' заявил]], что этот баг был в бете 14.04, его зарепортили и успели ПОФИКСИТЬ ПЕРЕД РЕЛИЗОМ. В 14.04 его нет. Какой-то мудак недообновился и стал кричать о баге, а другие мудаки подхватили. Ну, есть хоть кто-нибудь, у кого этот баг воспроизводится?
Короче, Мишаня, бросай эту новость фтопку революционного бронепоезда. Ибо.
4.40, Аноним, 13:35, 01/05/2014 [ ^] [ ответить] [ смотреть все] +/–Ок, тогда извиняюсь за подъе про конкурентов Просто раньше подобные не совсе... весь текст скрыт [ показать] 4.54, vn971, 16:07, 01/05/2014 [ ^] [ ответить] [ смотреть все] +/–Подтверждаю Дата добавления пакета, согласно changelog-у, 28 апреля 18 29 13 U... весь текст скрыт [ показать] 2.24, Аноним, 08:58, 01/05/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +1 +/– 2.25, Аноним, 09:06, 01/05/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +1 +/–Это две разные уязвимости Мейнтейнер отписался 28 апреля по поводу первой, про ... весь текст скрыт [ показать] [ показать ветку] 2.43, Michael Shigorin, 14:02, 01/05/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
1.32, Аноним, 11:49, 01/05/2014 [ответить] [смотреть все] –2 +/–там еще фича что если правой кнопкой в панель потыкать то разблокировать уже не ... весь текст скрыт [ показать]
1.34, alexey, 12:07, 01/05/2014 [ответить] [смотреть все] +3 +/–
2014 год, а они повторяют ошибки windows nt 4.0
1.35, AlexYeCu, 12:35, 01/05/2014 [ответить] [смотреть все] +/–
Разработчики Федоры несколько лет назад похожим образом лопухнулись.
1.37, iZEN, 13:11, 01/05/2014 [ответить] [смотреть все] +/–
И что? Как будто Single User Mode при загрузке по дефолту с паролем у всех.
2.48, YetAnotherOnanym, 15:15, 01/05/2014 [^] [ответить] [смотреть все] [показать ветку] +/–
1.45, Некто, 14:08, 01/05/2014 [ответить] [смотреть все] +1 +/–
Имхо сырой релиз. Поставил на одной из машин - глюки и тормоза. Откачу на 12.04
1.53, Аноним, 15:48, 01/05/2014 [ответить] [смотреть все] +/–Для материнской убунты - это уязвимость Для семейства - обычное дело ... весь текст скрыт [ показать]
1.64, Аноним, 23:34, 01/05/2014 [ответить] [смотреть все] +/–Ну не зря же обновление на следующий lts релиз приходит только после первого се... весь текст скрыт [ показать] Ваш комментарий
Read more |