Portál AbcLinuxu, 5. května 2025 21:50
Chyba CVE-2015-8025 umožňuje shodit xscreensaver odpojením kabelu od jednoho z monitorů, pokud jich máte více. Poté se objeví odemčená obrazovka s plným přístupem. Podobné chyby jsou například CVE-2014-1949 a deset let stará CVE-2006-0062. Bohužel stále nejsou opraveny…
Tiskni
Sdílej:
30.10.2015 18:37
Jendа | skóre: 78
| blog: Jenda
| JO70FB
30.10.2015 23:26
Jendа | skóre: 78
| blog: Jenda
| JO70FB
30.10.2015 23:55
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
QubesOS - můžeš přidělit aplikaci síť, mikrofon, kameru, přístup k souborům, přístup k obrazovce, přístup ke schránce a další věci
Geniální. Takto se to řeší na jednouživatelských systémech, tablech a mobilech. Proč to tahat na PC s GNU/Linuxem?
31.10.2015 00:00
Jendа | skóre: 78
| blog: Jenda
| JO70FB
31.10.2015 00:12
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Jako já nemám pocit, že by procesy odděleného uživatele mohly zasahovat do mých souborů nebo paměti mých procesů.Bohužel, jádro je plné chyb, tudíž to lze.
30.10.2015 22:31
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
30.10.2015 23:24
Jendа | skóre: 78
| blog: Jenda
| JO70FB
když s ním spojuješ xscreensaverBeru to jako sadu aplikací pro desktop. Mám tomu říkat GNU/Linux nebo GNU/X.org/GTK/QT/Linux? Samozřejmě pokud se budeme bavit jenom o jádru, tak tam to vypadá docela v pořádku. Ale jenom jádro asi provozuje málokdo. Pokud by existovala nějaká alternativa k aplikacím, o kterých se mluví, tak bych neřekl ani popel. Ale místo X.org si můžeš vybrat experimentální Wayland a místo xscreensaveru si můžeš nainstalovat gnome-screensaver nebo xtrlock, které fungují úplně stejně. (níže někdo píše, že KDE5 to nějak hlídá, to je dobře)
30.10.2015 23:46
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
30.10.2015 23:53
Jendа | skóre: 78
| blog: Jenda
| JO70FB
31.10.2015 00:04
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Moje deska měla IOMMU default vypnuté (stejně jako jsou by default stále vypnuté funkce virtualizace na intelech a fůra dalších věcí). IEEE 1394 má standardně DMA. TRESOR imho není ve vanile.
Takže to vlastně nevadí, protože si ze stejných důvodů jistě odpojuješ hdmi ještě před lock screen 
.
31.10.2015 00:13
Josef Kufner | skóre: 70
31.10.2015 00:23
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
31.10.2015 00:57
Josef Kufner | skóre: 70
31.10.2015 14:37
Hans1024 | skóre: 5
| blog: hansovo
31.10.2015 15:46
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Kdyz ma nekdo fyzicky pristup k PC, tak se proti nemu proste branit neda.Pokud máš na PCIe IOMMU a nějak pořešené RAMky proti vyčtení (případně máš klíče přímo na čipu), tak mě moc útoků nenapadá.
a nebo jim neveri, tak proc je sakra nechavat v jedne mistnosti s mymi vecmiDunno. Lidi u nás ve škole nebo v hackerspace si počítače na záchod neberou, takže je prostě nechají zamčené. Kromě instalace rootkitu od náhodných kolemjdoucích se asi bojím ještě policejní razie.
1.11.2015 13:30
Hans1024 | skóre: 5
| blog: hansovo
1.11.2015 15:14
Josef Kufner | skóre: 70
31.10.2015 15:59
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Kdyz ma nekdo fyzicky pristup k PC, tak se proti nemu proste branit neda.To je samozřejmě blbost. Máš spoustu počítačů*, kde je tohle přímo jedním z požadavků a bránit se samozřejmě dá. Je to jen o tom, že v současnosti se tímhle směrem moc lidí neubírá. *Například v knihovně jsou to čtecí terminály, odkud nesmí být možné odnést elektronické knihy. Při studiu proprietárních zdrojáků windows jsou na univerzitách podobné počítače, kde máš zakázané USB a zamknutou skříň, aby nebylo možné si zdrojáky odnést a tak dále.
31.10.2015 16:26
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Kdyz ma nekdo fyzicky pristup k PCvs.
zamknutou skříňTak nevím
31.10.2015 17:07
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
31.10.2015 18:14
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
vs.Kdyz ma nekdo fyzicky pristup k PC, tak se proti nemu proste branit neda.To je samozřejmě blbost.
zamknutou skříňJe mi přišlo podivné, že nejprve označíš jako blbost "fyzický přístup a nedá bránit útoku (na hw)" a hned o odstavec níž navrhuješ fyzické omezení přístupu k PC pro zamezení útoku (na hw). Čímž vlastně potvruješ něco, co sám vyvracíš.
31.10.2015 19:48
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Například v knihovně jsou to čtecí terminály, odkud nesmí být možné odnést elektronické knihy.Fotce monitoru to ale nebrání že?
aby nebylo možné si zdrojáky odnést a tak dáleA pak přijde někdo takovej.
31.10.2015 17:02
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Fotce monitoru to ale nebrání že?Fotka monitoru se nepovažuje za (plnohodnotnou) kopii. To by měl už o dost jednodušší si tu knížku prostě koupit a oscannovat. Pointa je, že tady jsou těch knížek tisíce a prostě se nemají nechat odnést.
31.10.2015 18:07
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Tak mě napadlo, jak moc EM vyzařujou PCIe (nebo SATA) sběrnice.Pořád víc EM vyzařuje samotný monitor. Viz třeba Tempest for Eliza. Jenže to bys musel mít možnost tam v nečem programovat. Hm. Možná v JS by se dalo.
31.10.2015 18:08
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
U knížek možná (jde si na tom terminálu přečíst knížku bez účtu v knihovně?).Já popravdě ani nevím, nikdy jsem to neviděl, jen jsem slyšel co to má umět a nemá a tak.
Aby někdo mohl odpojit monitor od pc, tak u něj musí být fyzicky přítomen. Tedy i kdyby byl xscreensaver nebo xorg v pořádku, tak stále má útočník možnost fyzického útoku na pc (zapojit usb, fireware, odpojit a zmrazit ram modul, nebo vytáhnout disk). Vyřešením bezpečnosti xscreensaveru proti útoku vytažení hdmi kabelu se tedy (skoro) nic nezlepší.Slysel jste uz o X terminalu? Pristup k X serveru nutne neznamena pristup k pocitaci, kde dany SW bezi.
30.10.2015 23:43
Jendа | skóre: 78
| blog: Jenda
| JO70FB
30.10.2015 23:49
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
31.10.2015 00:07
Jendа | skóre: 78
| blog: Jenda
| JO70FB
31.10.2015 15:50
Jendа | skóre: 78
| blog: Jenda
| JO70FB
30.10.2015 22:53
Josef Kufner | skóre: 70
30.10.2015 23:34
Jendа | skóre: 78
| blog: Jenda
| JO70FB
A jak to souvisi s Linuxem, todle mi prijde jako problem, kterej je ciste v X.Pokud máš FSF definici, že Linux je kernel, tak nijak. Zajímalo by mě, jak kolekci běžně používaného software tvořícího desktop či server používající systémové služby linuxového jádra říkáš ty.
Navic se da resit celkem trivialne tak, ze se vymeni SIGCHLD poslany zamykatkem obrazovky za SIGKILL (toto kernel podporuje)Super, jak? Rychlé googlení to nenašlo.
DebianA jak to souvisi s Linuxem, todle mi prijde jako problem, kterej je ciste v X.Pokud máš FSF definici, že Linux je kernel, tak nijak. Zajímalo by mě, jak kolekci běžně používaného software tvořícího desktop či server používající systémové služby linuxového jádra říkáš ty.
man clone: The low byte of flags contains the number of the termination signal sent to the parent when the child dies.Navic se da resit celkem trivialne tak, ze se vymeni SIGCHLD poslany zamykatkem obrazovky za SIGKILL (toto kernel podporuje)Super, jak? Rychlé googlení to nenašlo.
30.10.2015 23:58
Jendа | skóre: 78
| blog: Jenda
| JO70FB
DebianTo by se na mě zase sesypali, že ta chyba je přece i jinde.
man clone: The low byte of flags contains the number of the termination signal sent to the parent when the child dies.Tak když už si budu patchovat desktop (u mě xfce4-session), aby to vyrobilo ten proces takhle, tak si už můžu přidat i ten handler na sigchld… Pak je ještě problém v těch některých dalších CVE, kde locker nezhebnul, ale podařilo se ho hodit do pozadí.
Kdyz pouzivam Debian, tak me zajima zejmena to, jestli ta chyba je v nem.DebianTo by se na mě zase sesypali, že ta chyba je přece i jinde.
Jste si vedom toho, ze SIGCHLD neni v linuxu "queued signal" a tudiz pri ukonceni vice potomku pred zavolanim handleru bude handler informovan pouze o jednom z nich? Ja jen abyste si tam neudelal race condition...man clone: The low byte of flags contains the number of the termination signal sent to the parent when the child dies.Tak když už si budu patchovat desktop (u mě xfce4-session), aby to vyrobilo ten proces takhle, tak si už můžu přidat i ten handler na sigchld…
kolekci běžně používaného software tvořícího desktop či serverOn dneska někdo běžně používá xscreensaver? OMG k čemu? Ta xscreensaver hovadina je asi 15 let mrtvá, nechápu, proč to ještě není z distribucí odstraněno.
31.10.2015 18:33
Jendа | skóre: 78
| blog: Jenda
| JO70FB
OMG k čemu?K zamykání obrazovky? Ale to je jedno, všechna ostatní zamykátka, co jsem viděl (xlock, xlockmore, gnome-screensaver, nějaká věc v Compizu…), měla úplně ten stejný bug. Podle toho, co se píše v této diskuzi, to má správně implementováno jen KDE. To „běžně používaný software“ se ale nevztahovalo na xscreensaver, ale na X.
31.10.2015 00:06
Jendа | skóre: 78
| blog: Jenda
| JO70FB
DISPLAY=:0 můj-unlock)
31.10.2015 01:04
Josef Kufner | skóre: 70
31.10.2015 00:04
Jendа | skóre: 78
| blog: Jenda
| JO70FB
a bezpečných systémů, například železničních zabezpečovacích zařízeníNo, to sis aktuálně vybral výbornej příklad... :-P
Oproti tomu Linux, pokud se mu ztratí screensaver, nepřejde do stavu „obrazovka je zamčena a nelze odemknout, protože chcípnul odemykací proces“To ma jednoduche a vcelku prirozene reseni - zamykat obrazovku rovnou procesem window manageru.
31.10.2015 16:23
Jendа | skóre: 78
| blog: Jenda
| JO70FB
31.10.2015 19:35
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
31.10.2015 20:43
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
31.10.2015 21:11
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
. Aneb: já s tebou souhlasím:
Ze je screensaver bezpecnostni diraZ mého pohledu by se navíc screensaver vůbec neměl považovat za bezpečností aplikaci (= o stupeň vyšší nároky). BTW proti kočce by mohlo stačit pouhé přepnutí na jiný fyzický terminál, než jsou xka. BTW^2 Existuje nějakej session lock pro fyzickou textovou konzoli?
1.11.2015 00:05
Jendа | skóre: 78
| blog: Jenda
| JO70FB
BTW^2 Existuje nějakej session lock pro fyzickou textovou konzoli?Třeba screen to umí.
vlock. s parametrem -a to znemozni i prepinani konzoli, take s trochou stesti to bude fungovat i na zamceni Xek.Stestim myslite treba zakazanou magic sysrq? vlock-nosysrq je jistejsi (nebo -s).
31.10.2015 20:47
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
31.10.2015 22:22
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Podle mě uvažovat, že je screensaver zabezpečení je trochu mimo. Co když útočník přijde o 10 sekund dřív a zahýbe myší (a screensaver se tak neaktivuje)?Já si poslední dobou říkám, že by bylo dobré mít RFID prsten, který je snímán senzorem na vzdálenost třeba dvou metrů. Automaticky by ti pak zamykal obrazovku, když ten prsten nenajde. Samozřejmě, i tohle by šlo obejít (např. RFID wormhole), ale už by to nebylo tak jednoduché a většinu problémů by to mohlo řešit.
31.10.2015 22:24
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
31.10.2015 22:37
Josef Kufner | skóre: 70
31.10.2015 23:14
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
1.11.2015 00:02
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
1.11.2015 00:04
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Co když útočník přijde o 10 sekund dřívJá když odcházím, tak screensaver aktivuju ručně. Mám na to klávesovou zkratku.
Zodpovědný uživatel, pokud opustí stanici, tak by se měl odhlásitTo je dost nepraktické, protože mám většinou spoustu otevřených věcí.
Já když odcházím, tak screensaver aktivuju ručně. Mám na to klávesovou zkratku.To by šlo, ale to už spíš není automatický screensaver, jako zamknutí session. Ten screensaver je už jen vedlejší efekt.
To je dost nepraktické, protože mám většinou spoustu otevřených věcí.V opravdu bezpečném systému by to bylo triviální. Odhlášení by mohlo být prostě uložení stavu virtuálního stroje.
1.11.2015 02:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ten screensaver je už jen vedlejší efekt.Jasně. Taky jsem měl dlouho jako screensaver černou obrazovku (teď jsem si napsal RobCo PIP-Boy 2000).
V opravdu bezpečném systému by to bylo triviální. Odhlášení by mohlo být prostě uložení stavu virtuálního stroje.Co když potřebuješ, aby i zamčený stroj na pozadí něco dělal?
.
To asi většinou ne i když asi bude záviset na úhlu otevření notebooku. Minimálně můžeš odhadnout délku hesla a přibližnou lokaci kláves. Každopádně pokud bude zaplej mikrofon, tak můžeš klávesy slyšet a to už je normální odposlouchávací metoda.
2.11.2015 12:44
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Taky by bylo vtipný nechat zapnutou webkameru v prohlížeči, takže druhá strana vidí jak se přihlasuješ.Jednu dobu jsem měl obrazovku vypadající nezamčeně a když se ji někdo pokusil použít, začlo to hrát Flying Toasters a poslalo to fotku na IRC. Chytil jsem se já a kamarád.
Podobné chyby jsou například CVE-2014-1949 a deset let stará CVE-2006-0062.
Odkazované chyby nejsou chyby xscreensaveru.
31.10.2015 15:48
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Článek? Já tam vidím jen citaci z hlášení o chybě, pak tři odkazy a tři odstavce, ve kterých se pisatel rozčiluje, jak je to hrozné.
Navíc žádná z těch chyb není v X. Jedna je v xlockmore, druhá v GTK a ta poslední v xscreensaveru.
Přijde mi, že někdo nepochopil XGrabKeyboard(). Pokud to tak děsně vadí, není problém přidat třetí hodnotu argumentu keyboard_mode, takže pokud se klient odpojí před zavoláním XUngrabKeyboard(), server se ukončí.
31.10.2015 18:30
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Navíc žádná z těch chyb není v X. Jedna je v xlockmore, druhá v GTK a ta poslední v xscreensaveru.Ne, chyba je v X, že nemá "locked" flag nebo něco podobného, a tak musí lidí, co píšou zamykátko, dělat nestabilní hacky přes kradení klávesnice a výrobu superoken.
Pokud to tak děsně vadí, není problém přidat třetí hodnotu argumentu keyboard_mode, takže pokud se klient odpojí před zavoláním XUngrabKeyboard(), server se ukončí.Proč to vůbec nikdo neimplementuje?
31.10.2015 19:17
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Fixed a crash when hot-swapping monitors while locked.
Ten RH bug je vuci 5.33 to jen tak, aby se nereklo, ze kluci na tom nemakaj aspon trosku ... nemuze to aspon zpravicka zminit? Nebo se pletu a je to jeste jinej bug?
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.