X.org server kao kalauz

Francuski bloger Gu1 otkrio je interesantan propust u X.org serveru od verzije 1.11, pomoću koga je moguće ući na računar koji je trenutno zaključan pomoću čuvara ekrana (screensaver). Istovremenim pritiskom na taster Ctrl, Alt taster i taster * numeričke tastature, zaključani čuvar ekrana se gasi kao da ste ukucali šifru. Ovaj propust uspešno je testiran na Fedori 16, koja još nije bila updateovana sa novim zakrpama.

Gu1 tvrdi da je za ovaj problem kriva debug opcija "AllowClosedownGrabs": Ako je ova opcija uključena, ona je zadužena da presreće i hvata kombinacije miša i tastature i da ih neutrališe i gasi. U ovom slučaju čuvar ekrana obično sprečava neovlašćeni pristup računaru.

Prema Gu1 ova funkcija je prvi put bila prisutna 2008. godine. U to vreme ona je bila neaktivna i dobro opisana u dokumentaciji. U vezi sigurnosnih problema koji se dovode u vezu sa problemima čuvara ekrana, programeri su izričito upozoravali. Pomoću jednog API-a još tada je bilo moguće ciljno iskljućiti procese.

U poslednjih nekoliko godina ova funkcija ponovo je uvedena. "Ovog puta, međutim po default-u aktivna, slabo dokumentovana i teška za konfigurisanje", kritikovao  je bloger. Peter Hutterer član razvojnog tima X.org objašnjava ovaj propust kao nedostatak unutar komunikacije između programera samog razvojnog tima: Kada je ova funkcija ponovo implementirana, napravljen je propust i nisu uklonjene  sve standardne kombinacije tastature.

Sve Linux distribucije su ranjive koje koriste verziju 1.11 X.org servera. Propust je uspešno testiran na Debianu sa Gnome 3 kao i na Arch Linuxu sa Gnome 3, Slock i Slimlock programima. Na KDE desktopu takođe je moguće primeniti ovaj sigurnosni propust.

Koju X-server verziju koristite, možete saznati komandom X -version. Rešenje ovog sigurnosnog propusta možete rešiti tako što ćete ručno iz xkb konfiguracije izbaciti sve što se odnosi na XF86Ungrab i XF86ClearGrab ili da koristite vlock program.

Izvor: http://gu1.aeroxteam.fr/