Bug 26836 - CVE-2012-0064: configuration allows xscreensaver bypass
Summary: CVE-2012-0064: configuration allows xscreensaver bypass
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: xkeyboard-config (show other bugs)
Version: unstable
Hardware: all Linux
: P3 blocker
Assignee: Valery Inozemtsev
QA Contact: qa-sisyphus
URL: http://www.opennet.ru/opennews/art.sh...
Keywords: security
: 26835 (view as bug list)
Depends on:
Blocks:
 
Reported: 2012-01-19 18:54 MSK by Michael Shigorin
Modified: 2012-01-23 17:25 MSK (History)
7 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Michael Shigorin 2012-01-19 18:54:12 MSK 
В xorg-server 1.11 сделали отладочную фичу, не задокументировали толком и так и отправили в плавание: нажатие Ctrl-Alt-серая* приводит к снятию блокировки без пароля.

Ссылки:
http://gu1.aeroxteam.fr/2012/01/19/bypass-screensaver-locker-program-xorg-111-and-up/
http://www.opennet.ru/opennews/art.shtml?num=32844
http://jajaz.org/?p=353
Comment 1 Michael Shigorin 2012-01-19 18:55:56 MSK 
PS: XF86_Ungrab и XF86_ClearGrab нашлись в /usr/share/X11/xkb/compat/xfree86
Comment 2 Alexey Gladkov 2012-01-19 19:14:59 MSK 
*** Bug 26835 has been marked as a duplicate of this bug. ***
Comment 3 Alexey Gladkov 2012-01-19 19:18:31 MSK 
Согласно полиси это blocker (http://www.altlinux.org/Bug_Severity_Policy#blocker).
Comment 4 Dmitry V. Levin 2012-01-19 19:30:23 MSK 
Первоисточник: http://openwall.com/lists/oss-security/2012/01/19/1
Comment 5 led 2012-01-19 19:53:38 MSK 
Security vulnerability - в xorg-server. Blocker bug повешен на xkeyboard-config.

Это "чтоб враги не догадались":)
Comment 6 Dmitry V. Levin 2012-01-19 19:55:47 MSK 
Proposed fix:
http://lists.x.org/archives/xorg-devel/2012-January/028691.html
Comment 7 Mikhail Efremov 2012-01-20 11:03:27 MSK 
Пока можно использовать что-то типа этого:
$ cat ~/.Xmodmap 
keycode  63 = KP_Multiply NoSymbol KP_Multiply NoSymbol
keycode  106 = KP_Divide NoSymbol KP_Divide NoSymbol
Comment 8 Dmitry V. Levin 2012-01-20 22:01:17 MSK 
Апстрим сегодня выпустил новую версию xkeyboard-config:
http://cgit.freedesktop.org/xkeyboard-config/tag/?id=xkeyboard-config-2.5

В ней есть соответствующий коммит:
http://cgit.freedesktop.org/xkeyboard-config/commit/?id=dc55259e52ef034e568a50beb43a80b3595e49e4

Предлагаю последовать их примеру.
Comment 9 Dmitry V. Levin 2012-01-23 17:25:38 MSK 
xkeyboard-config-2.5-alt1 уже в Сизифе.