Grosse faille de s

14 réponses

Frederic Bezies

19/01/2012 à 12:54

http://www.tux-planet.fr/grosse-faille-de-securite-dans-le-serveur-daffichage-xorg-1-11/

"Un très grosse faille de sécurité vient d'être découverte dans le serveur d'affichage Xorg (version >
1.11), utilisé par la plupart des distributions GNU/Linux. Une combinaison de touches spéciales
permet de déverrouiller l'écran de veille, sans avoir besoin de renseigner le mot de passe."

Mais une faille qui est en train d'être mise à mort, par exemple pour archlinux :

http://projects.archlinux.org/svntogit/packages.git/commit/trunk?h=packages/xkeyboard-
config&id=a1bb8eb3bcdcdcbe79e5efc0f6a631fc83409882

Maintenant, ne vous étonnez pas d'une mise à jour de Xorg dans les jours qui viennent :D

4 réponses

1 2

NiKo

19/01/2012 à 20:00

Le 19/01/2012 14:55, Frederic Bezies a écrit :

Le Thu, 19 Jan 2012 13:32:06 +0100, NiKo a écrit :

[...]

Ne fonctionne pas sous Ubuntu 10.04 :

$ Xorg -version X.Org X Server 1.7.6

Donc, cette faille ne touche que des versions 'testing' de Linux. Rien
de grave en somme.

Donc, traduire :

- fedora
- gentoo
- archlinux
- debian testing et ses dérivés
- Ubuntu 10.10 -> 11.10

Et les autres sont des versions "testing" ?!

Ubuntu 10.04 -> Xorg 1.7.6
Ubuntu 10.10 -> Xorg 1.9.0
Ubuntu 11.04 -> Xorg 1.10.1
Ubuntu 11.10 -> Xorg 1.10.4

Pas de version en production vulnérable chez Ubuntu.

Idem chez Debian.

--
Le mode sans échec de Windows est la preuve que son
mode normal est un échec !

SONY : It only does everything ... until we remove !
PS3 Firmware update 3.21 :
The first software update which downgrade !

Frederic Bezies

19/01/2012 à 20:23

Le Thu, 19 Jan 2012 20:00:39 +0100, NiKo a écrit :

Le 19/01/2012 14:55, Frederic Bezies a écrit :
Le Thu, 19 Jan 2012 13:32:06 +0100, NiKo a écrit :

[...]

Ne fonctionne pas sous Ubuntu 10.04 :

$ Xorg -version X.Org X Server 1.7.6

Donc, cette faille ne touche que des versions 'testing' de Linux. Rien
de grave en somme.

Donc, traduire :

- fedora - gentoo - archlinux - debian testing et ses dérivés - Ubuntu
10.10 -> 11.10

Et les autres sont des versions "testing" ?!

Ubuntu 10.04 -> Xorg 1.7.6 Ubuntu 10.10 -> Xorg 1.9.0 Ubuntu 11.04 ->
Xorg 1.10.1 Ubuntu 11.10 -> Xorg 1.10.4

Pas de version en production vulnérable chez Ubuntu.

Idem chez Debian.

De production, surement. Mais quid des versions utilisables ou en développement en dehors de
debian et sa dérivée conviviable ?

Yannick Palanque

19/01/2012 à 22:18

http://www.tux-planet.fr/grosse-faille-de-securite-dans-le-serveur-daffic hage-xorg-1-11/

Rappelons au passage l'existence du sympathique programme vlock
(Â« vlock is a program to lock one or more sessions on the Linux
console Â»).

talon

20/01/2012 à 00:31

Frederic Bezies wrote:

http://www.tux-planet.fr/grosse-faille-de-securite-dans-le-serveur-daffichage-xorg-1-11/

"Un très grosse faille de sécurité vient d'être découverte dans le serveur d'affichage Xorg (version >
1.11), utilisé par la plupart des distributions GNU/Linux. Une combinaison de touches spéciales
permet de déverrouiller l'écran de veille, sans avoir besoin de renseigner le mot de passe."

Mais une faille qui est en train d'être mise à mort, par exemple pour archlinux :

http://projects.archlinux.org/svntogit/packages.git/commit/trunk?h=packages/xkeyboard-
config&id¡bb8eb3bcdcdcbe79e5efc0f6a631fc83409882

Maintenant, ne vous étonnez pas d'une mise à jour de Xorg dans les jours qui viennent :D

Autrement dit il faut être au clavier pour en profiter, mais si on est
au clavier on peut faire ce qu'on veut, par exemple retirer le disque
dur et le recopier, donc c'est une faille insignifiante.
La première chose indispensable pour la sécurité d'un serveur est qu'on
ne puisse jamais y accéder, sauf la personne responsable.

--

Michel TALON

1 2

Grosse faille de s

4 réponses

Veuillez sélectionner un problème