Journal Faille Xorg > 1.11

Posté par .
Tags : aucun
29
19
jan.
2012

Mon nal, Mes neux, bonjour,

Peut-être lassés par des journaux aussi pédants qu'illisibles, sans doutes seriez-vous ravis d'avoir affaire à un texte plus concis.

Et ce ne sera pas difficile pour moi, puisque la faille que je vous présente aujourd'hui est triviale, et se trouve présente dans Xorg > 1.11.

L'objet est de pouvoir débloquer un screensaver ou un screenlocker sans connaître le mot de passe de l'utilisateur.

Vous vous attendez sans doutes à diverses manipulations très poussées, eh bien vous n'y êtes pas du tout. Il suffit pour cela d'une incantation magique. La voici :

Alt + Ctrl + *

Un workaround est de remapper ce raccourci avec xmodmap :

xmodmap -e 'keysym 0x1008fe21 = KP_Multiply'

Je sens que ça va s'amuser en openspace aujourd'hui.

Source : http://permalink.gmane.org/gmane.comp.security.oss.general/6734

  • # Lisibilité et pédanterie

    Posté par . Évalué à  10 .

    Un workaround est de remapper ce raccourci avec xmodmap :

    Ce n'est pas pédant mais c'est illisible (sauf pour les geeks).
    Un contournement consiste à réattribuer ce raccourci clavier avec la commande xmodmap
    Comme ça c'est pédant mais ce n'est pas illisible.

    • [^] # Re: Lisibilité et pédanterie

      Posté par (page perso) . Évalué à  -1 .

      Ce n'est pas pédant mais c'est illisible (sauf pour les geeks).

      Je savais pas que le disaïdeurs pressés lisaient les journaux linuxfr.
      Je croyais qu'ils s'arrêtaient à la première page et que c'était justement les geeks qui lisaient les journaux...

  • # ha ouai?

    Posté par . Évalué à  1 .

    chezmoiçamarchepas... :=(

    x11-server-xorg-1.10.3-1-mdv2011.0.i586

    • [^] # Re: ha ouai?

      Posté par . Évalué à  1 . Dernière modification : le 19/01/12 à 10:25

      Mes excuses, c'est Xorg >= 1.11 en vérité (cf le mail cité en source). Un modérateur pour éditer le journal ?

      • [^] # Re: ha ouai?

        Posté par . Évalué à  5 . Dernière modification : le 19/01/12 à 10:41

        Je viens de tester et ça ne fonctionne pas pour moi bien que j'ai la version d'Archlinux.

        C'est sensé être valable pour n'importe quel environnement de bureau ?

        Édition : faut le * du pavé numérique pas un autre

        • [^] # Re: ha ouai?

          Posté par . Évalué à  0 .

          Pareil, marche pas sous gentoo avec xorg 1.11.2-r2.

          Ce serait pas un bug du locker ? celui de kde chez moi.

          • [^] # Re: ha ouai?

            Posté par . Évalué à  10 .

            En cherchant très rapidement la constante mentionnée dans le journal (0x1008FE21), on peut lire ceci dans le code du serveur X :

             #define XF86XK_ClearGrab	0x1008FE21   /* kill application with grab */
            
            

            "Grab" est une fonctionnalité qui permet à une application de monopoliser le clavier ou la souris afin qu'aucune autre application ne s'en serve. Cela sert pour les applications plein écran, et également par le verrouillage de l'écran. Le "ClearGrab" me semble totalement incompatible avec le verrouillage d'écran.

          • [^] # Re: ha ouai?

            Posté par (page perso) . Évalué à  2 .

            J'ai la même version (Gentoo également) et ça fonctionne avec le locker de KDE.
            Il faut bien utiliser la touche « * » du pavé numérique.

          • [^] # Re: ha ouai?

            Posté par . Évalué à  2 .

            Et encore pareil, ça marche pas chez moi, gentoo / xorg-server-1.11.2-r2, xlockmore-5.31

          • [^] # Re: ha ouai?

            Posté par . Évalué à  2 .

            Ca fonctionne sous gentoo, sauf la distrib a été mise à jour
            avec x11-misc/xkeyboard-config-2.4.1-r3 qui corrige cette faille.

    • [^] # Re: ha ouai?

      Posté par . Évalué à  1 .

      Chez moi ça fonctionne™, xorg-server 1.11.3 sur Archlinux.

      Par contre la fonction mise en veille de xlock est toujours active et je suis condamné à utiliser mes périphériques d'entrées ou à entrer mon mot de passe.

      The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

    • [^] # Re: ha ouai?

      Posté par . Évalué à  4 .

      Chez moi ça fonctionne (Xserver 1.11) avec le screenlock de KDE !

      • [^] # Re: ha ouai?

        Posté par . Évalué à  2 .

        Chez moi ca remplace le fond d'écran vide du screensaver par le bureau, mais ne déverrouille pas pour autant. (kde)

        • [^] # Re: ha ouai?

          Posté par . Évalué à  1 .

          Ah oui j'ai pas précisé, en testing, donc server 1.11 et KDE 4.8

  • # Ça ne touche que la version de dév ...

    Posté par (page perso) . Évalué à  10 .

    Une petite erreur dans ton journal qui change pas mal de choses, d'après le lien que tu donne il s'agit d'un bug de la version 1.11 et pas 1.1.

    Si je ne m'abuse la version stable est la 1.9.

    La version 1.11 est en plein développement et n'est théoriquement pas utilisée dans un environnement de prod ... l'impact de la faille me semble très limitée du coup.

    L'erreur à été repérée et sera corrigée bien avant la release.

    • [^] # Re: Ça ne touche que la version de dév ...

      Posté par . Évalué à  3 .

      Effectivement, mes confuses. Cela dit, cette version se trouve dans Debian Testing et Sid, ainsi que dans Gentoo et Archlinux. Et probablement ailleurs.

      • [^] # Re: Ça ne touche que la version de dév ...

        Posté par . Évalué à  0 .

        Sur ma Debian Testing ça ne marche pas… le screensaver est géré par KDE.

      • [^] # Re: Ça ne touche que la version de dév ...

        Posté par (page perso) . Évalué à  1 . Dernière modification : le 19/01/12 à 10:42

        Ok, je ne pensais pas que cette version étais déjà dispo dans autant de distribs.

        Du coup c'est vachement plus méchant que ce que je croyais.

      • [^] # Re: Ça ne touche que la version de dév ...

        Posté par . Évalué à  -1 .

        En même temps, dans Testing, il y a… Test.

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: Ça ne touche que la version de dév ...

        Posté par (page perso) . Évalué à  3 .

        Sous Fedora 16 ça marche aussi

      • [^] # Re: Ça ne touche que la version de dév ...

        Posté par (page perso) . Évalué à  3 .

        debian testing n'est pas une distrib stable. Il est normal qu'il puisse y avoir des bogues... Les corrections arrivant moins vite que dans sid, elle est même parfois plus dangereuse.

        Bref, testing est la pour préparer la futur stable, c'est pas une rolling release...

        • [^] # Re: Ça ne touche que la version de dév ...

          Posté par (page perso) . Évalué à  1 .

          Les corrections arrivant moins vite que dans sid, elle est même parfois plus dangereuse.

          Debian testing est prise en charge par l'équipe de sécurité, contrairement à Sid.

          « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

          • [^] # Re: Ça ne touche que la version de dév ...

            Posté par (page perso) . Évalué à  3 .

            C'est tout le contraire.

            • [^] # Re: Ça ne touche que la version de dév ...

              Posté par (page perso) . Évalué à  -1 .

              http://www.debian.org/security/faq#unstable

              « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

              • [^] # Re: Ça ne touche que la version de dév ...

                Posté par (page perso) . Évalué à  3 .

                Non, mais, j'ai été moinsé alors que j'avais raison ! C'est le comble !

                Le lien que tu mets a été fait pour les utilisateurs, pour leur dire de ne pas utiliser Sid (mais même Testing) s'il s'attendent à du support sécurité et le paragraphe qui parle de Testing est gravement pas à jour. D'ailleurs, si tu regardes bien l'archive aujourd'hui, tu peux constater :

                xorg-server | 2:1.11.3.901-1 |       testing | source
                xorg-server | 2:1.11.3.901-2 |      unstable | source
                
                

                (ça date de ce matin [0])

                Je te laisse deviner laquelle corrige le problème dont on cause dans ce journal. Et ce n'est pas un cas isolé. Toutes les updates de sécurité qui arrivent dans Testing passent par Sid….

                Pour revenir à Testing, tu peux lire l'annonce qui a été faite dans [1] et voir le déluge de messages et d'annonces de sécurité qu'il y a eu après sur la même liste [2].

                [0] http://packages.qa.debian.org/x/xorg-server/news/20120119T101901Z.html
                [1] http://lists.debian.org/debian-testing-security-announce/2011/02/msg00003.html
                [2] http://lists.debian.org/debian-testing-security-announce/

                Mraw

                • [^] # Re: Ça ne touche que la version de dév ...

                  Posté par (page perso) . Évalué à  0 .

                  Je te laisse deviner laquelle corrige le problème dont on cause dans ce journal.

                  Et?
                  Pas de rapport : sid a les dernières versions (2:1.11.3.901-2 > 2:1.11.3.901-1, miracle!), mais ça ne veut pas dire que c'est sécurisé. Ca veut juste dire que les version récentes sont dans sid (bugs de sécurité potentiels inclus)

                  on, mais, j'ai été moinsé alors que j'avais raison ! C'est le comble !

                  Non, tu n'as pas raison. Ou alors démontre que sid est bien géré par une équipe de sécurité (parler de numéro de version n'est pas de la sécurité)

                  • [^] # Re: Ça ne touche que la version de dév ...

                    Posté par . Évalué à  2 .

                    Ou alors démontre que sid est bien géré par une équipe de sécurité (parler de numéro de version n'est pas de la sécurité)

                    D'après la doc Debian :

                    Security updates are available for the unstable branch usually when the package maintainer makes a new package and for the stable branch when the Security Team make a new upload and publish a DSA. Notice that neither of these change the testing branch.

                    Donc tout paquet qui arrive dans testing passe d'abord par sid, confirmé par le wiki :

                    A package is installed into the testing dist from DebianUnstable automatically when a list of requirements is fulfilled

                    De toute façon, parler d'équipe de sécurité pour Unstable est exagéré : il s'agit juste de packager les mises à jour au fil de l'eau, pas juste les mises à jour de sécurité.

                    Seule stable bénéficie d'un réel de travail de suivi de la sécurité : ce sont ces seules mises à jour avec les volatiles (comme les base d'antivirus).

                    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                    • [^] # Re: Ça ne touche que la version de dév ...

                      Posté par (page perso) . Évalué à  3 .

                      D'après la même doc :

                      Additionally, the Debian Testing Security Team can issue Debian Testing Security Advisories (DTSAs) for packages in the testing branch if there is an inmediate need to fix a security issue in that branch and cannot wait for the normal procedure (or the normal procedure is being blocked by some other packages).

                      Donc Testing a bien droit à un traitement de faveur par rapport à unstable qui dépend des corrections upstream qui ne sont pas toujours là quand la faille est découverte.

                      « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

                      • [^] # Re: Ça ne touche que la version de dév ...

                        Posté par (page perso) . Évalué à  2 .

                        Et en théorie, quand une nouvelle version règle un problème important, le DD indique une priorité 'high' pour que le passage de Sid à Testing se fasse en 2 jours au lieu de 10.

                        • [^] # Re: Ça ne touche que la version de dév ...

                          Posté par . Évalué à  3 .

                          Vous vous chauffez grave le ciboulot !

                          Il n'y a pas d'update de sécurité, digne de ce nom, hors de la distribution stable du moment. Même les backports (officialisés sous Squeeze) ne prétendent pas à avoir des MàJ de sécu forcément promptes et pertinentes.

        • [^] # Re: Ça ne touche que la version de dév ...

          Posté par (page perso) . Évalué à  5 .

          L'idéal, c'est plutôt quelque chose comme testing, avec les dépôts de la sid en basse priorité, pour y prendre manuellement les paquets qui corrigent des problèmes avant qu'ils n'arrivent dans testing.

  • # ouah !

    Posté par (page perso) . Évalué à  1 .

    méchant
    ça marche sur mon archlinux...

    est-ce que ça le fait aussi pour sortir de la veille (je n'essaie pas, la mise en veille est pas terrible sur ma machine) ?

    si j'avais un gestionnaire de bureau qui enregistre la liste des applications lancées, fichiers ouverts, dispositions des fenêtres/bureaux et capable de tout ré-ouvrir au login suivant, je prendrai l'habitude de me déconnecter au lieu de laisser ma machine tourner.

    bon, vais attendre le patch......

    Envoyé depuis mon Archlinux

    • [^] # Re: ouah !

      Posté par (page perso) . Évalué à  6 .

      Et ça marche sur ma Debian Testing aussi. Assez impressionnant, plus rapide que de taper son mot de passe :D.

      • [^] # Re: ouah !

        Posté par . Évalué à  4 .

        Ça marche aussi sur mon GNOME 3.2 mais ça fait un résultat bizarre : la session est déverrouillée mais la barre supérieure a disparu.

        Tout le reste fonctionne (aperçu des bureaux, etc) mais la barre n'est plus là.

        Pour la faire revenir, j'ai dû relancer gnome-screensaver et forcer le verrouillage à la mano (gnome-screensaver-command -l) et déverrouiller ma session normalement.

        Donc GNOME est en partie protégé : la session n'est pas entièrement utilisable :)

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

        • [^] # Re: ouah !

          Posté par . Évalué à  10 .

          Donc GNOME est en partie protégé : la session n'est pas entièrement utilisable :)

          C'est pas le fonctionnement normal de GNOME ça ?

          • [^] # Re: ouah !

            Posté par . Évalué à  7 .

            Ah ben faut bien sacrifier un peu de fonctionnalités si on veut de la sécurité

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

            • [^] # Re: ouah !

              Posté par . Évalué à  8 .

              un geek prêt à sacrifier un peu de fonctionnalité pour un peu de sécurité ne mérite ni l'une ni l'autre, et fini par migrer sur du propriétaire ...

        • [^] # Re: ouah !

          Posté par (page perso) . Évalué à  3 .

          Alt + F2
          saisir r
          taper sur Entrée

          ça redémarre gnome-shell, en conservant les applis ouvertes
          (et la barre de menu revient)

          https://live.gnome.org/GnomeShell/CheatSheet

          Envoyé depuis mon Archlinux

          • [^] # Re: ouah !

            Posté par . Évalué à  3 .

            Ah oui, pas bête. Le pire c'est que je connais ce raccourci.

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: ouah !

            Posté par . Évalué à  1 .

            Mais après tu ne peux plus verrouiller l'écran ! (Sur Arch avec Gnome en tout cas.)

        • [^] # Re: ouah !

          Posté par (page perso) . Évalué à  3 .

          Pour la faire revenir, j'ai dû relancer gnome-screensaver et forcer le verrouillage à la mano (gnome-screensaver-command -l) et déverrouiller ma session normalement.

          T'es bien patient. Moi j'ai fait alt+F2 / urxvt / pkill -U joris :)

  • # Demain Trolldi...

    Posté par . Évalué à  4 .

    Ça va se marrer sur windowsfr.org ! (ou pas)

  • # Clair qu'on va s'éclater là...

    Posté par (page perso) . Évalué à  -5 .

    Je sens que ça va s'amuser en openspace aujourd'hui.

    C'est-à-dire que si ça c'est un truc qui fait marrer tout le monde chez toi, je suis pas sûr de vouloir partager vos moments d'amusement...

    • [^] # Re: Clair qu'on va s'éclater là...

      Posté par (page perso) . Évalué à  10 .

      Bah si tu peux vachement t'amuser:

      • tu debloques la session d'un collegue parti a la pause café
      • tu fais un screenshot de son bureau
      • tu vires toutes les icones du bureau: dossier, menu pour lancer les applis, bref tout
      • tu met le screenshot en fond d'ecran
      • [^] # Re: Clair qu'on va s'éclater là...

        Posté par (page perso) . Évalué à  0 . Dernière modification : le 19/01/12 à 12:17

        C'est rigolo, ce truc ne fonctionne plus avec Gnome-shell (installé sur les machines assez mises à jour pour avoir un XOrg 1.11) : il n'y a plus d'icônes sur le bureau…

        Par contre, mettre des alias sur les commandes Shell habituelles (ls, cd…), ça marche toujours…

      • [^] # Re: Clair qu'on va s'éclater là...

        Posté par . Évalué à  4 .

        Dans le même genre tu peux :

        • ajouter des alias shell sur des commandes communément tapées
        • jouer un son en boucle (si il utilise un casque) en cachant le processus
        • envoyer un mail à l'ensemble du service annonçant qu'il apportera le petit déjeuner le lendemain
        • [^] # Re: Clair qu'on va s'éclater là...

          Posté par . Évalué à  2 .

          Pour le son en boucle je l'aurais plutôt vu dans un script shell avec une tempo aléatoire.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: Clair qu'on vas'éclater là...

      Posté par . Évalué à  5 .

      En fait c'est un « jeu » assez fréquent en entreprise, sur les personnes qui ont commis la faute de ne pas locker leur session, pour les punir de manquer à la sécurité de leur poste de travail, et donc potentiellement à celle de la boite.

      • [^] # Re: Clair qu'on vas'éclater là...

        Posté par . Évalué à  2 .

        Chez nous, nous conservons exprès une image des Chippendales et une des Teletubbies pour mettre en fond d'écran des collègues imprudents.

        Admirer la tête de celui qui découvre son nouveau bureau, ça fait toujours son petit effet :)

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

  • # Archlinux a fixé le bug

    Posté par (page perso) . Évalué à  1 .

  • # super…

    Posté par (page perso) . Évalué à  3 .

    Je voulais le faire à mes collègues, ils sont sous des vieux ubuntu pour la plupart, je suis le seul sous debian sid… bein forcément je suis le seul à être impacté :'(

  • # On n’oublie pas de citer la source originelle...

    Posté par . Évalué à  -1 .

    C'est lui qui a trouvé la faille :
    http://gu1.aeroxteam.fr/2012/01/19/bypass-screensaver-locker-program-xorg-111-and-up/

    Merci à lui ! (Certaines personnes devaient déjà le savoir et en profiter).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.