Bug 26836 - CVE-2012-0064: configuration allows xscreensaver bypass
: CVE-2012-0064: configuration allows xscreensaver bypass
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/xkeyboard-config)
: unstable
: all Linux
: P3 blocker
Assigned To:
:
: http://www.opennet.ru/opennews/art.sh...
: security
:
:
  Show dependency tree
 
Reported: 2012-01-19 18:54 by
Modified: 2012-01-23 17:25 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2012-01-19 18:54:12
В xorg-server 1.11 сделали отладочную фичу, не задокументировали толком и так и
отправили в плавание: нажатие Ctrl-Alt-серая* приводит к снятию блокировки без
пароля.

Ссылки:
http://gu1.aeroxteam.fr/2012/01/19/bypass-screensaver-locker-program-xorg-111-and-up/
http://www.opennet.ru/opennews/art.shtml?num=32844
http://jajaz.org/?p=353
------- Comment #1 From 2012-01-19 18:55:56 -------
PS: XF86_Ungrab и XF86_ClearGrab нашлись в /usr/share/X11/xkb/compat/xfree86
------- Comment #2 From 2012-01-19 19:14:59 -------
*** Bug 26835 has been marked as a duplicate of this bug. ***
------- Comment #3 From 2012-01-19 19:18:31 -------
Согласно полиси это blocker
(http://www.altlinux.org/Bug_Severity_Policy#blocker).
------- Comment #4 From 2012-01-19 19:30:23 -------
Первоисточник: http://openwall.com/lists/oss-security/2012/01/19/1
------- Comment #5 From 2012-01-19 19:53:38 -------
Security vulnerability - в xorg-server. Blocker bug повешен на
xkeyboard-config.

Это "чтоб враги не догадались":)
------- Comment #6 From 2012-01-19 19:55:47 -------
Proposed fix:
http://lists.x.org/archives/xorg-devel/2012-January/028691.html
------- Comment #7 From 2012-01-20 11:03:27 -------
Пока можно использовать что-то типа этого:
$ cat ~/.Xmodmap 
keycode  63 = KP_Multiply NoSymbol KP_Multiply NoSymbol
keycode  106 = KP_Divide NoSymbol KP_Divide NoSymbol
------- Comment #8 From 2012-01-20 22:01:17 -------
Апстрим сегодня выпустил новую версию xkeyboard-config:
http://cgit.freedesktop.org/xkeyboard-config/tag/?id=xkeyboard-config-2.5

В ней есть соответствующий коммит:
http://cgit.freedesktop.org/xkeyboard-config/commit/?id=dc55259e52ef034e568a50beb43a80b3595e49e4

Предлагаю последовать их примеру.
------- Comment #9 From 2012-01-23 17:25:38 -------
xkeyboard-config-2.5-alt1 уже в Сизифе.