Раскрыта информация об уязвимости в хранителе экрана cinnamon-screensaver, развиваемом дистрибутивом Linux Mint, которая позволяет войти в заблокированный сеанс пользователя без ввода пароля на системах с несколькими раскладками клавиатур. Проблема может использоваться для получения доступа к данным пользователя, на время оставившего свой компьютер без присмотра...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54413
Хорошие тестеры растут 😂
Нужно котика под это дело приспособить. Папа вроде как раз Минт водрузил (начитавшись тырнетов конечно). Кот у них имеется...
> Нужно котика под это дело приспособить. Папа вроде как раз Минт водрузил
> (начитавшись тырнетов конечно). Кот у них имеется...Странно, потому как обычно "папы" выбирут скорее xfce, ну или mate, ну lxde в конце концов, причём xfce/mate редакции Linux Mint есть штатно.
Первый раз вижу сообщение, в котором говорится про такого интересного продвинутого папу, который сам начитался тырнетов, т.е. было размышление над выбором и сам "водрузил" именно Сinnamon осознанно.
Вы что-то недоговариваете ;)
Чего тут договаривать, посоветовали дистр в целом, он тыкнул на то что предлагается первым пунктом (синнамон), дело раскрыто
> Чего тут договаривать, посоветовали дистр в целом, он тыкнул на то что
> предлагается первым пунктом (синнамон), дело раскрыто"тыкнул на то что предлагается первым пунктом" как-то не очень вяжется с словосочетанием "начитавшись тырнетов", потому как больше похоже на - "тыкнул на первое что попалось", а это уже не вяжется с образом папы, который сам, осознанно стал копать такую тему в интернетах, не спросив совета своего, очевидно находящегося в теме, сына.
А что продвинутого в том что люди читают говно бложики и ставят по итогам прочитанного Минт?
Я думаю он так и распространяется. Интернетно-сарафанным путём.
lxde то ему зачем простихоспаде? он может разве что во время гуглинга эти названия видел мельком.Если бы он спрашивал у меня, я бы сказал бубунту МАТЕ т.к. сам на ней сижу. Хоть и поглядываю по сторонам, но где больше удобства и меньше трахтибидоха пока не вижу. Ни по дистрам, ни по ДЕ.
> А что продвинутого в том что люди читают говно бложики и ставят
> по итогам прочитанного Минт?Практика показывает, что "говно бложики" в наше время советуют Manjaro, MX Linux или какие-нибудь упоротые элементари, DDE-ремиксы и прочие попосы.
> Я думаю он так и распространяется. Интернетно-сарафанным путём.Вы может будете удивлены, но именно Linux Mint чаще всего новичкам советуют именно гики, в том числе, которые ведут каналы на ютубе.
> lxde то ему зачем простихоспаде? он может разве что во время гуглинга
> эти названия видел мельком.И странно, что ища сам, а не положась на опыт сына он не обращал и на такое внимание.
> Если бы он спрашивал у меня, я бы сказал бубунту МАТЕ т.к.
> сам на ней сижу. Хоть и поглядываю по сторонам, но где
> больше удобства и меньше трахтибидоха пока не вижу.И это вот тоже очень странно, потому как ищущий папа не мог не наткнуться на избитую фразу, что лучше новичку поставить дистрибутив, который у знакомого "гуру". И это даже логически к такому выводу с большой вероятностью приходит народ.
> Ни по дистрам,
> ни по ДЕ.Насчёт DE соглашусь, уважаю классические, хоть сам использую не mate. Насчёт дистрибутива не соглашусь, сам пробовал жить на десктопах разного разлива, в том числе дольше всего на бунтах с разными DE, и в итоге ушёл на Debian, я предпочитаю лучше один раз плотно настроить, чем каждый раз при апгрейдах креститься подпорки подтыкивать и изолентой подкручивать.
А всё-таки с папой как-то странно, единственное что приходит на ум первым делом, после того, что история какая-то немного попахивающая неправдой, это то, что папа совершенно игнорирует авторитет сына в вопросах, где сын очевидно разбирается. В целом поведение папы нетипично для поведения пап, которые с возрастом мудрее как правило.
Так это и есть говнобложики. Гики блин...Что до авторитета тут все банально, я мог сказать ставь это или то он бы и поставил. Но я оставил ему. В чем я разбираюсь он прекрасно знает) Скажем, комп новый я ему целиком подбирал. Монитор у него теперь идентичный. Без меня он вряд ли бы 4К купил.
> Так это и есть говнобложики. Гики блин...
> Что до авторитета тут все банально, я мог сказать ставь это или
> то он бы и поставил. Но я оставил ему. В чем
> я разбираюсь он прекрасно знает) Скажем, комп новый я ему целиком
> подбирал. Монитор у него теперь идентичный. Без меня он вряд ли
> бы 4К купил.А вам не кажется, что именно папу заставлять выбирать и "набивать шишки", которые набили вы, проходить по тем граблям, где были уже вы, это такое себе, вы же не замену себе готовите в форме ученика-подрастающего поколения?!
Это папа, у которого очевидно есть свои дела, которому скорее всего нужно поставить проверенное средство и научить по короткой программе чего стоит делать, а чего нет, дабы он не тратил своё жизненное время на то, что уже пройдено вами. Каждый должен быть специалистом в своей области, к примеру, если у меня в наличии есть родственник, который является квалифицированным строителем, архитектором, и мне вот надо дом построить, я ожидаю что он мне подскажет что в моём случае лучше всего сделать, а не даст мне свободу самообразовываться по теме строительства с нуля. В свою очередь когда ко мне, к примеру, в автосервис приедут я проведу диагностику и сделаю что требуется, а не буду отпускать набивать шишки и решать с нуля самим, чтобы они сами дошли до того, что им пора мост менять или коробку. Сапоги должен хорошо чинить сапожник, а пироги печь - пирожник!Я не подразумеваю лично в вашу сторону никаких антипатий или предвзятостей, я просто не понимаю такого подхода поведения относительно свормировавшейся личности и старшего поколения.
Такой подход безусловно позитивен по отношению к детям, потому что нужно развивать в них самостоятельность и способность мыслить.Ещё раз извините, если вас конкретно задевают подобные замечания от какого-то рандома в сети, просто у меня с подобного поведения подгорает, и что характерно этим грешат именно IT-шники, потому что считают что всенепременно каждый должен быть в компьютерах если не на уровне БОГ, то хотя бы на уровне GRANDMASTER, "компьютерная грамотность", бла-бла-бла. А хотя сами как правило в остальных сферах жизни далеко не специалисты и ожидают чтобы им сделали как лучше и как надо сразу, чтобы работало и можно было пользоваться.
Пока что из описываемого вами выглядит так, что вы имеете какой-то скрытый мотив, навроде поставить папу на место, где он в уязвимой позиции ученика и бегающего по граблям. Может быть вы этого и не осознаёте, но удовлетворяетесь своим положением, не мучайте пожалуйста папу, поясните что он выбрал гомно, на которое даже не стоит тратить время, потому что вы в своё время прошли этот путь и знаете, что оно того не стоит. Самый ценный в этом мире ресурс - это время, не стоит его разбазаривать так, сохраните его для своего папы, он в итоге будет благодарен и за это время сделает какие-то полезные вещи или хотя бы отдохнёт просто, ведь наверняка он это заслужил!
В итоге он будет вам благодарен.
анон ты форумом ошибся.а папа делает, что хочет. Взрослый он у меня.
Я вообще не понимаю, что за странное обсуждение "папы" у вас тут случилось. Почему-то подразумевается, что папа полный ноль в it. Я помню, в моем не самом раннем детстве, конце 80х-начале 90х, наши родители в основной массе действительно не очень разбирались и интересовались компьютерами, потому что доступные компьютеры как раз только начали появляться. Но мы-то вполне себе вынуждены были разбираться и ковыряться, у нас на глазах происходил взрывной рост технологий. Кто-то со спектрумами возился,я вот первый свой 286й комп сам методом тыка собрал из кучи запчастей, а потом хз сколько пользовался досом и его командной строкой. Фидонет опять же приучил править текстовые конфиги :-) Было дико интересно, каждый год кучи нового. Я все это к тому, что те, чьим детям сейчас по 15-20 лет, как бы в среднем не оказались более компетентными, чем их усреднённые детишки :-)
слуш, все вопросы к анону. что он там себе нафантазировал.
> И это вот тоже очень странно, потому как ищущий папа не мог не наткнуться на избитую фразу, что лучше новичку поставить дистрибутив, который у знакомого "гуру". И это даже логически к такому выводу с большой вероятностью приходит народ.Совсем способность к самообразованию на митинг заведующих по учебной части ушла? 🙂
>> И это вот тоже очень странно, потому как ищущий папа не мог не наткнуться на избитую фразу, что лучше новичку поставить дистрибутив, который у знакомого "гуру". И это даже логически к такому выводу с большой вероятностью приходит народ.
> Совсем способность к самообразованию на митинг заведующих по учебной части ушла? 🙂Извините, не понял ваше глубокомысленное сравнение, как по смыслу, так и по уместности сравнения, поэтому и ответить не могу. Если вы желаете ответа, то прошу пояснить более детально и проще, что вы имели в виду?!
https://bugs.launchpad.net/ubuntu/+source/unity/+bug/1463112 же
>> "Первой мыслью было то, что это случайное стечение обстоятельств."Интересный подход к решению проблемы.
все современные макаки так погромируют.
Былинный отказ Шин98, где посредством нехитрых манипуляций можно было залогиниться в любую существующую учетку без ввода пароля, вы, видимо, не застали.
там не было краха лок-экрана
А, ну тогда не считается.
это другое (ц)
Там просто плевать было на разделение учётных записей. За безопасностью и разделением прав тогда надо было ходить в WinNT. А в 9X можно было получить доступ к любым файлам любого пользователя.
Был кряк и нелох-у-экрана
А через любую сетевую шару можно было получить доступ ко всей файловой системе.
Это ошибка выжившего. Программисты всегда были криворукими и первый залетевший дятел рушил всю цивилизацию.
> Программисты всегда были криворукимиУ всех манипуляторы с сочленениями. И у Вас тоже. Судьба.. )
Круто.
> Проблема эксплуатируется тривиальноЛол -- первое слово, что приходит на ум.
Классика
Да, это уже было (я про виртуальную клавиатуру). В кде например сделали выводы.
Нашли... :(
Твоюж мать... :(
Плохо прятал? D
Они применили запрещенный прием.. запустили в тестеры детей...
Агенты АНБ или ФСБ в семьях линуксо-неофитов потярели ценный бэкдор (((
Вспомнилась аналогичная история, когда надо было 42 раза пробел чтоли нажать, чтобы под рутом залогиниться. Несколько лет назад была история. Только та история была без привязки к ДЕ.
Только то был граб и было это лет 10 назад. С тех пор лично я отказался от граба, всё равно он картинки на моём пк так и не научился загружать, а 1 депрекейтнули. Efistub норм, за глаза.
А хотя не, там другая история была, граб -- он же отдельно живёт.
Но от граба всë равно отказался. Для профилактики.
Вот что значит рабочий стол от васянов.
Мы с котом Мануалом недовольны вашим сообщением. Более того вы клевещите. Cinnamon есть благородное ответвление GNOME Shell.Cinnamon влюбил меня в себя.
alv.me пошто забросили?
Теперь напишет совсестно с котом Мануалом про грязный приемчик по разблокировке.)
Посоветуй нормальный рабочий стол, не от васянов, желательно с гарантией отсутствия таких дыр
Windows 10 Pro DE, не пожалеешь ;)
Хм... Дыр там действительно нет, есть многоцелевые технологические отверстия. В остальном такое же вясянство, только с брендовым шильдиком.
Шпрехен зе дойч?))))
Sie - читается, как Зи
натюрлих яволь
"С гарантией отсутствия таких дыр", просили. Ах да, главное, это гарантировать.
А вот пожалею. Тебя. Там тоже есть свеженький обход экрана блокировки, на этот раз BitLocker.
Xfce Йа проверил - безоасность на должном уровне. Инфа сотка.)
не гони у тебя нема детей
Xfce
>Посоветуй нормальный рабочий стол, не от васянов, желательно с гарантией отсутствия таких дырНе от васянов можно любой советовать. Васяны пока что ни одной среды рабочего стола не написали.
MATE от Perberos, Trinity Desktop Environment от Timothy Pearson.
таких в линуксах нет 🤨
We are very sorry to hear that. Your feedback is really important for our company, so could you describe in detail what's wrong with our products, especially DEs? Thank you in advance.
Опять сишные дыры.
в расте бы просто скринсейверу не хватило памяти из-за утечки, и системда убила бы его сама.
Чудеса в решете..
jwz уже прыгает от радости (again) https://www.jwz.org/blog/2021/01/i-told-you-so-2021-edition/
Просто класс! Всем васянам по башке надавал.
А в конце ваще отпад)
Это у тебя геглпереводчик шалит. Замусоленную тему с тяганием всякого Г на компутер читать и восторгаться..
Вот выпустит Майкрософт свою ДЕ для Линукса. И будете на ней сидеть с зондами наперевес.
Да-да, и все ныне существующие DE и WM от этого, как по команде, объявят о своём прекрашении существования.
Ну если майки этого захотят... прекратят))
Класс!
> Примечательно, что проблема была обнаружена после того как дети одного из пользователей Linux Mint играли во "взлом" компьютера отца, нажимая во время блокировки экрана случайные клавиши и кликая на всё подряд.«Если бы строители строили здания так же, как программисты пишут программы, первый залетевший дятел разрушил бы цивилизацию.»
Попробовал и так и сяк. Скринсейвер при нажатии экранных клавиш в чужой раскладке подвисает, но падать и не думает. Может, в моём случае звёзды не сошлись.
нужен фактор необходимости и инфантильности, когда прикладываю к домофону не тот ключ в полной уверенности и дергаешь дверь она открывается с error ring, может кратковременное падение на магните при вычислениях, не знаю.
ты аккуратнее... после такого эксперимента (неправильный ключ + дергание двери) вся эта дверь не открылась, а вывалилась на меня...
> в хранителе экрана *-screensaverТак этим все сказано! Все подобные хреновины попахивают, поэтому никогда и не использовал такую дрянь.
Это не могло не упасть.
>> Связанные с устранением уязвимости изменения привели к возникновению условий для краха в библиотеке libcaribou, используемой в экранной клавиатуре Caribou. При вызове функциональности экранной клавиатуры из хранителя экрана крах в libcaribou приводил к краху самого хранителя экрана и возобновлению доступа к заблокированному рабочему столу.1. Крах скринсейвера НЕ должен приводить к возобновлению доступа к раб столу. Это косяк системы. Она никак не должна полагать свою безопасность на обои и скринсейверы. В винде вон у каждого юзера без СМС накачано троянов скринсейверов и ничего.
2 Крах клавиатуры никак не должен был крашить скринсейвер. Это косяк цинамона, скринсейвер я так понял стандартный в нём идёт. Тут ладно, просто кто-то наверное поленился какие-то обработчики ошибок добавить.
3 Ну и клавиатура тоже не должна крашиться от всего лишь нажатия на буквы. Это косяк клавиатуры и разрабам стыд позор что они не её нормально не тестируют на языках кроме английского.Если слепить три баганых продукта, то не удивительно что оно сыплется налево направо. Вероятность краха в третьей степени от числа багов в каждом софте.
И это их ещё на раст не переписали...
> 1. Крах скринсейвера НЕ должен приводить к возобновлению доступа к раб столуэто ограничение иксов, а точнее сетевой прозрачности: они по дизайну не могут реализовать нормальный скринсейвер, так как скринсейвер должен быть реализован на стороне сервера, а не клиента, но сервер вообще не имеет никакой логики для взаимодействия с приложениями (он тупо рисовалка). и на иксах скринсейвер реализован как фулл-скрин прилада, которая перехватывает весь ввод с клавы на себя, т.е. по сути это костыль
у меня было аналогичное лет 5 назад с xlockmore.... дети что-то тыкали и оно в кору упало (с разлочкой). Так что все не без бага, увы...
Там же кода на 1кб -_-
Плохо, очень плохо.
father-ы уже мышкой взламывают
вероятность бага на 1000 строк ~0.033, вероятность что ребенок ~0.25, вероятность что ребенку будет очень нада ~1.46, итого больше процента, что он своего добьётся.
А это уязвимость? Речь о сабже.
иногда после выхода из сна, скринсейвер долго запускается. И пока он запускается, можно что-то делать. Иногда даже удавалось секунды 4 что-то осмысленно делать и потом сильно удивляться какого фига вдруг экран заблокировался.
Да и в других дистрибах и DE бывало что удавалось мышью куда-то ткнуть.
Просто у тебя старый, медленный компьютер.
А старый, медленный компьютер - уязвимость.
P. S. раньше говнокодеры писали код, который на более быстрых компьютерах чем у них, работал чуть-чуть иначе.
Теперь - наоборот.
> работал чуть-чуть иначе.ага.. чуть-чуть... вплоть до "совсем не работал". счётчики таймеров там переполнялись или ещё чего.
Помню, как мы в детстве пароль в BIOS взламывали. Там нужно было в качестве пароля вводить восемь звёздочек, чтобы загрузить компьютер.
https://bios-pw.org/
> Примечательно, что проблема была обнаружена после того как дети одного из пользователей Linux Mint играли во "взлом" компьютера отца, нажимая во время блокировки экрана случайные клавиши и кликая на всё подряд.Примечательно, что это фазинг и что у проекта нет фазинг тестирования.
> Примечательно, что это фазинг и что у проекта нет фазинг тестирования.Так "это" или "нет"?
Но да, детский фаззинг может вскрыть детские грабли -- особенно больно попадающие...
- В Linux Mint отмечены проблемы с распространением обновлений с устранением уязвимостей
- Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором
- Root-уязвимость в sudo, затрагивающая Linux Mint и Elementary OS
- Уязвимость, позволяющая обойти блокировку экрана в дистрибутивах с рабочим столом Cinnamon
Слишком оптимистично ожидать от любительского дистрибутива-паразита чего-то другого, при этом есть масса фанатиков считающих его лучшим дистрибутивом, на практике к багам хозяина добавляются баги паразита.
> к багам хозяина добавляются баги паразитаДва по арифметике -- из багов апстрима в подобных случаях также вычитаются баги апстрима, сочтённые даунстримом тараканами и не включённые в дистрибутив вообще.
А так -- успехов проекту LMDE.
Помню в Win95 была прикольная фича для обхода экрана входа в систему - просто жмём Enter и попадаем на рабочий стол.
http://www.jwz.org/blog/2021/01/i-told-you-so-2021-edition/Впрочем, ещё с парой ссылок тянет на отдельную новость, увы.