Mon nal, Mes neux, bonjour,
Peut-être lassés par des journaux aussi pédants qu'illisibles, sans doutes seriez-vous ravis d'avoir affaire à un texte plus concis.
Et ce ne sera pas difficile pour moi, puisque la faille que je vous présente aujourd'hui est triviale, et se trouve présente dans Xorg > 1.11.
L'objet est de pouvoir débloquer un screensaver ou un screenlocker sans connaître le mot de passe de l'utilisateur.
Vous vous attendez sans doutes à diverses manipulations très poussées, eh bien vous n'y êtes pas du tout. Il suffit pour cela d'une incantation magique. La voici :
Alt + Ctrl + *
Un workaround est de remapper ce raccourci avec xmodmap :
xmodmap -e 'keysym 0x1008fe21 = KP_Multiply'
Je sens que ça va s'amuser en openspace aujourd'hui.
Source : http://permalink.gmane.org/gmane.comp.security.oss.general/6734
# Commentaire supprimé
Posté par Anonyme . Évalué à 10.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Lisibilité et pédanterie
Posté par LaBienPensanceMaTuer . Évalué à -1.
Je savais pas que le disaïdeurs pressés lisaient les journaux linuxfr.
Je croyais qu'ils s'arrêtaient à la première page et que c'était justement les geeks qui lisaient les journaux...
# ha ouai?
Posté par YBoy360 (site web personnel) . Évalué à 1.
chezmoiçamarchepas... :=(
x11-server-xorg-1.10.3-1-mdv2011.0.i586
[^] # Re: ha ouai?
Posté par moules . Évalué à 1. Dernière modification le 19 janvier 2012 à 10:25.
Mes excuses, c'est Xorg >= 1.11 en vérité (cf le mail cité en source). Un modérateur pour éditer le journal ?
[^] # Re: ha ouai?
Posté par Nonolapéro . Évalué à 5. Dernière modification le 19 janvier 2012 à 10:41.
Je viens de tester et ça ne fonctionne pas pour moi bien que j'ai la version d'Archlinux.
C'est sensé être valable pour n'importe quel environnement de bureau ?
Édition : faut le * du pavé numérique pas un autre
[^] # Re: ha ouai?
Posté par GCastor (site web personnel) . Évalué à 0.
Pareil, marche pas sous gentoo avec xorg 1.11.2-r2.
Ce serait pas un bug du locker ? celui de kde chez moi.
[^] # Re: ha ouai?
Posté par BFG . Évalué à 10.
En cherchant très rapidement la constante mentionnée dans le journal (0x1008FE21), on peut lire ceci dans le code du serveur X :
"Grab" est une fonctionnalité qui permet à une application de monopoliser le clavier ou la souris afin qu'aucune autre application ne s'en serve. Cela sert pour les applications plein écran, et également par le verrouillage de l'écran. Le "ClearGrab" me semble totalement incompatible avec le verrouillage d'écran.
[^] # Re: ha ouai?
Posté par Olivier Serve (site web personnel) . Évalué à 2.
J'ai la même version (Gentoo également) et ça fonctionne avec le locker de KDE.
Il faut bien utiliser la touche « * » du pavé numérique.
[^] # Re: ha ouai?
Posté par JGO . Évalué à 2.
Et encore pareil, ça marche pas chez moi, gentoo / xorg-server-1.11.2-r2, xlockmore-5.31
[^] # Re: ha ouai?
Posté par ceric35 . Évalué à 2.
Ca fonctionne sous gentoo, sauf la distrib a été mise à jour
avec x11-misc/xkeyboard-config-2.4.1-r3 qui corrige cette faille.
[^] # Re: ha ouai?
Posté par téthis . Évalué à 1.
Chez moi ça fonctionne™, xorg-server 1.11.3 sur Archlinux.
Par contre la fonction mise en veille de xlock est toujours active et je suis condamné à utiliser mes périphériques d'entrées ou à entrer mon mot de passe.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: ha ouai?
Posté par Xaapyks . Évalué à 4.
Chez moi ça fonctionne (Xserver 1.11) avec le screenlock de KDE !
[^] # Re: ha ouai?
Posté par maxix . Évalué à 2.
Chez moi ca remplace le fond d'écran vide du screensaver par le bureau, mais ne déverrouille pas pour autant. (kde)
[^] # Re: ha ouai?
Posté par Xaapyks . Évalué à 1.
Ah oui j'ai pas précisé, en testing, donc server 1.11 et KDE 4.8
# Ça ne touche que la version de dév ...
Posté par Enoch (site web personnel) . Évalué à 10.
Une petite erreur dans ton journal qui change pas mal de choses, d'après le lien que tu donne il s'agit d'un bug de la version 1.11 et pas 1.1.
Si je ne m'abuse la version stable est la 1.9.
La version 1.11 est en plein développement et n'est théoriquement pas utilisée dans un environnement de prod ... l'impact de la faille me semble très limitée du coup.
L'erreur à été repérée et sera corrigée bien avant la release.
[^] # Re: Ça ne touche que la version de dév ...
Posté par moules . Évalué à 3.
Effectivement, mes confuses. Cela dit, cette version se trouve dans Debian Testing et Sid, ainsi que dans Gentoo et Archlinux. Et probablement ailleurs.
[^] # Re: Ça ne touche que la version de dév ...
Posté par Adrien . Évalué à 0.
Sur ma Debian Testing ça ne marche pas… le screensaver est géré par KDE.
[^] # Re: Ça ne touche que la version de dév ...
Posté par Nonolapéro . Évalué à 6.
Un peu plus haut j'ai mis qu'il faut utiliser le * du pavé numérique, l'autre ne permet pas le bug.
[^] # Re: Ça ne touche que la version de dév ...
Posté par kursus_hc . Évalué à 2.
Je confirme le bug sur debian sid à jour / kde.
[^] # Re: Ça ne touche que la version de dév ...
Posté par NeoX . Évalué à 2.
ca doit etre pour ca que ca ne fonctionne pas chez moi
Ubuntu 11.10, xorg 1.10.4 donc pas impacté
mais en plus sur un portable
[^] # Re: Ça ne touche que la version de dév ...
Posté par Enoch (site web personnel) . Évalué à 1. Dernière modification le 19 janvier 2012 à 10:42.
Ok, je ne pensais pas que cette version étais déjà dispo dans autant de distribs.
Du coup c'est vachement plus méchant que ce que je croyais.
[^] # Re: Ça ne touche que la version de dév ...
Posté par zebra3 . Évalué à -1.
En même temps, dans Testing, il y a… Test.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ça ne touche que la version de dév ...
Posté par Joris Dedieu (site web personnel) . Évalué à 3.
Sous Fedora 16 ça marche aussi
[^] # Re: Ça ne touche que la version de dév ...
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
debian testing n'est pas une distrib stable. Il est normal qu'il puisse y avoir des bogues... Les corrections arrivant moins vite que dans sid, elle est même parfois plus dangereuse.
Bref, testing est la pour préparer la futur stable, c'est pas une rolling release...
[^] # Re: Ça ne touche que la version de dév ...
Posté par claudex . Évalué à 1.
Debian testing est prise en charge par l'équipe de sécurité, contrairement à Sid.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Ça ne touche que la version de dév ...
Posté par Mehdi Dogguy . Évalué à 3.
C'est tout le contraire.
[^] # Re: Ça ne touche que la version de dév ...
Posté par claudex . Évalué à -1.
http://www.debian.org/security/faq#unstable
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Ça ne touche que la version de dév ...
Posté par Mehdi Dogguy . Évalué à 3.
Non, mais, j'ai été moinsé alors que j'avais raison ! C'est le comble !
Le lien que tu mets a été fait pour les utilisateurs, pour leur dire de ne pas utiliser Sid (mais même Testing) s'il s'attendent à du support sécurité et le paragraphe qui parle de Testing est gravement pas à jour. D'ailleurs, si tu regardes bien l'archive aujourd'hui, tu peux constater :
(ça date de ce matin [0])
Je te laisse deviner laquelle corrige le problème dont on cause dans ce journal. Et ce n'est pas un cas isolé. Toutes les updates de sécurité qui arrivent dans Testing passent par Sid….
Pour revenir à Testing, tu peux lire l'annonce qui a été faite dans [1] et voir le déluge de messages et d'annonces de sécurité qu'il y a eu après sur la même liste [2].
[0] http://packages.qa.debian.org/x/xorg-server/news/20120119T101901Z.html
[1] http://lists.debian.org/debian-testing-security-announce/2011/02/msg00003.html
[2] http://lists.debian.org/debian-testing-security-announce/
Mraw
[^] # Re: Ça ne touche que la version de dév ...
Posté par Zenitram (site web personnel) . Évalué à 0.
Et?
Pas de rapport : sid a les dernières versions (2:1.11.3.901-2 > 2:1.11.3.901-1, miracle!), mais ça ne veut pas dire que c'est sécurisé. Ca veut juste dire que les version récentes sont dans sid (bugs de sécurité potentiels inclus)
Non, tu n'as pas raison. Ou alors démontre que sid est bien géré par une équipe de sécurité (parler de numéro de version n'est pas de la sécurité)
[^] # Re: Ça ne touche que la version de dév ...
Posté par zebra3 . Évalué à 2.
D'après la doc Debian :
Donc tout paquet qui arrive dans testing passe d'abord par sid, confirmé par le wiki :
De toute façon, parler d'équipe de sécurité pour Unstable est exagéré : il s'agit juste de packager les mises à jour au fil de l'eau, pas juste les mises à jour de sécurité.
Seule stable bénéficie d'un réel de travail de suivi de la sécurité : ce sont ces seules mises à jour avec les volatiles (comme les base d'antivirus).
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ça ne touche que la version de dév ...
Posté par claudex . Évalué à 3.
D'après la même doc :
Donc Testing a bien droit à un traitement de faveur par rapport à unstable qui dépend des corrections upstream qui ne sont pas toujours là quand la faille est découverte.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Ça ne touche que la version de dév ...
Posté par BeberKing (site web personnel) . Évalué à 2.
Et en théorie, quand une nouvelle version règle un problème important, le DD indique une priorité 'high' pour que le passage de Sid à Testing se fasse en 2 jours au lieu de 10.
[^] # Re: Ça ne touche que la version de dév ...
Posté par Marotte ⛧ . Évalué à 3.
Vous vous chauffez grave le ciboulot !
Il n'y a pas d'update de sécurité, digne de ce nom, hors de la distribution stable du moment. Même les backports (officialisés sous Squeeze) ne prétendent pas à avoir des MàJ de sécu forcément promptes et pertinentes.
[^] # Re: Ça ne touche que la version de dév ...
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
L'idéal, c'est plutôt quelque chose comme testing, avec les dépôts de la sid en basse priorité, pour y prendre manuellement les paquets qui corrigent des problèmes avant qu'ils n'arrivent dans testing.
# ouah !
Posté par pralines . Évalué à 1.
méchant
ça marche sur mon archlinux...
est-ce que ça le fait aussi pour sortir de la veille (je n'essaie pas, la mise en veille est pas terrible sur ma machine) ?
si j'avais un gestionnaire de bureau qui enregistre la liste des applications lancées, fichiers ouverts, dispositions des fenêtres/bureaux et capable de tout ré-ouvrir au login suivant, je prendrai l'habitude de me déconnecter au lieu de laisser ma machine tourner.
bon, vais attendre le patch......
Envoyé depuis mon Archlinux
[^] # Re: ouah !
Posté par Maxime (site web personnel) . Évalué à 6.
Et ça marche sur ma Debian Testing aussi. Assez impressionnant, plus rapide que de taper son mot de passe :D.
[^] # Re: ouah !
Posté par zebra3 . Évalué à 4.
Ça marche aussi sur mon GNOME 3.2 mais ça fait un résultat bizarre : la session est déverrouillée mais la barre supérieure a disparu.
Tout le reste fonctionne (aperçu des bureaux, etc) mais la barre n'est plus là.
Pour la faire revenir, j'ai dû relancer gnome-screensaver et forcer le verrouillage à la mano (gnome-screensaver-command -l) et déverrouiller ma session normalement.
Donc GNOME est en partie protégé : la session n'est pas entièrement utilisable :)
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: ouah !
Posté par kowalsky . Évalué à 10.
Donc GNOME est en partie protégé : la session n'est pas entièrement utilisable :)
C'est pas le fonctionnement normal de GNOME ça ?
[^] # Re: ouah !
Posté par zebra3 . Évalué à 7.
Ah ben faut bien sacrifier un peu de fonctionnalités si on veut de la sécurité
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: ouah !
Posté par siGT1papillon . Évalué à 8.
un geek prêt à sacrifier un peu de fonctionnalité pour un peu de sécurité ne mérite ni l'une ni l'autre, et fini par migrer sur du propriétaire ...
[^] # Re: ouah !
Posté par pralines . Évalué à 3.
Alt + F2
saisir r
taper sur Entrée
ça redémarre gnome-shell, en conservant les applis ouvertes
(et la barre de menu revient)
https://live.gnome.org/GnomeShell/CheatSheet
Envoyé depuis mon Archlinux
[^] # Re: ouah !
Posté par zebra3 . Évalué à 3.
Ah oui, pas bête. Le pire c'est que je connais ce raccourci.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: ouah !
Posté par neil . Évalué à 1.
Mais après tu ne peux plus verrouiller l'écran ! (Sur Arch avec Gnome en tout cas.)
[^] # Re: ouah !
Posté par Joris Dedieu (site web personnel) . Évalué à 3.
T'es bien patient. Moi j'ai fait alt+F2 / urxvt / pkill -U joris :)
# Demain Trolldi...
Posté par Anthony F. . Évalué à 4.
Ça va se marrer sur windowsfr.org ! (ou pas)
# Clair qu'on va s'éclater là...
Posté par Maclag . Évalué à -5.
C'est-à-dire que si ça c'est un truc qui fait marrer tout le monde chez toi, je suis pas sûr de vouloir partager vos moments d'amusement...
[^] # Re: Clair qu'on va s'éclater là...
Posté par flagos . Évalué à 10.
Bah si tu peux vachement t'amuser:
[^] # Re: Clair qu'on va s'éclater là...
Posté par scand1sk (site web personnel) . Évalué à 0. Dernière modification le 19 janvier 2012 à 12:17.
C'est rigolo, ce truc ne fonctionne plus avec Gnome-shell (installé sur les machines assez mises à jour pour avoir un XOrg 1.11) : il n'y a plus d'icônes sur le bureau…
Par contre, mettre des alias sur les commandes Shell habituelles (ls, cd…), ça marche toujours…
[^] # Re: Clair qu'on va s'éclater là...
Posté par moules . Évalué à 4.
Dans le même genre tu peux :
[^] # Re: Clair qu'on va s'éclater là...
Posté par Grunt . Évalué à 2.
Pour le son en boucle je l'aurais plutôt vu dans un script shell avec une tempo aléatoire.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Clair qu'on vas'éclater là...
Posté par moules . Évalué à 5.
En fait c'est un « jeu » assez fréquent en entreprise, sur les personnes qui ont commis la faute de ne pas locker leur session, pour les punir de manquer à la sécurité de leur poste de travail, et donc potentiellement à celle de la boite.
[^] # Re: Clair qu'on vas'éclater là...
Posté par zebra3 . Évalué à 2.
Chez nous, nous conservons exprès une image des Chippendales et une des Teletubbies pour mettre en fond d'écran des collègues imprudents.
Admirer la tête de celui qui découvre son nouveau bureau, ça fait toujours son petit effet :)
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Clair qu'on vas'éclater là...
Posté par Juke (site web personnel) . Évalué à 10.
chez nous c'est un bon vieux goatse :)
# Archlinux a fixé le bug
Posté par Martin Peres (site web personnel) . Évalué à 1.
Le bug de sécu a été fixé dans ArchLinux:
https://projects.archlinux.org/svntogit/packages.git/commit/trunk?h=packages/xkeyboard-config&id=a1bb8eb3bcdcdcbe79e5efc0f6a631fc83409882
[^] # Re: Archlinux a fixé le bug
Posté par Juke (site web personnel) . Évalué à 10.
il est collé ou vissé ?
[^] # Re: Archlinux a fixé le bug
Posté par Thomas Debesse (site web personnel) . Évalué à 7.
En effet s'il est fixé on va avoir du mal à l'enlever, ce bug :)
ce commentaire est sous licence cc by 4 et précédentes
# super…
Posté par matthieu bollot (site web personnel, Mastodon) . Évalué à 3.
Je voulais le faire à mes collègues, ils sont sous des vieux ubuntu pour la plupart, je suis le seul sous debian sid… bein forcément je suis le seul à être impacté :'(
[^] # Re: super…
Posté par gnumdk (site web personnel) . Évalué à 10.
# On n’oublie pas de citer la source originelle...
Posté par alkino . Évalué à -1.
C'est lui qui a trouvé la faille :
http://gu1.aeroxteam.fr/2012/01/19/bypass-screensaver-locker-program-xorg-111-and-up/
Merci à lui ! (Certaines personnes devaient déjà le savoir et en profiter).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.