• Suscríbete al Feed Espacio Linux
  • Suscríbete al Feed por Email
  • Sigue a Espacio Linux en Identi.ca
  • Espacio Linux también en Facebook
  • Sigue a Espacio Linux en Twitter
  • Sigue a Espacio Linux en Google +
          Iniciar sesión | Registrarse

Fallo en X.org Server permite desbloquear el equipo sin autorización

Logo xorgDescubren vulnerabilidad en X.org server en su versión 1.11 que permite a cualquiera de forma fácil desbloquear el equipo sin autorización, tan solo con presionar simultáneamente algunas teclas.

Un bloguero francés ha descubierto el fallo en X.org 1.11, el cual viene incluido en distribuciones como Fedora 16, Ubuntu 12.04, Debian Unstable. Archilinux , Gentoo y otras..

El error consiste en que se puede desactivar el Screensaver del equipo (usualmente utilizado para bloquearlo), mediante la combinación de teclas Ctrl+Alt+* simultáneamente. La última tecla se debe presionar desde el teclado numerico y pueden ser varias las combinaciones. El resultado es que el equipo se desbloquea sin necesidad de conocer la contraseña del usuario.

Según quien descubrió el fallo lo ha podido reproducir en Debian y GNOME 3 y Arch Linux con GNOME 3. También KDE puede ser vulnerable.

El fallo es causado por la opción “AllowClosedownGrabs” que si está activa permite terminar los procesos mediante la combinación de teclas, en este caso el Screensaver.

Esta función fue incluida hace varios años para propósito de pruebas siempre desactivada hasta que dejo de incluirse hace algunos años. Sin embargo, parece que fue reintroducida en el 2011, pero por error la dejaron activada esta vez.

Existe un patch para Fedora 16 que ya corrige el problema, otras distribuciones seguramente lo corregirán de la misma manera o mediante las actualizaciones del sistema.

De acuerdo al autor del descubrimiento de la vulnerabilidad una forma temporal de corregirlo es editar manualmente el xkb y quitar todas las menciones a XF86Ungrab y XF86ClearGrab. También se puede utilizar vlock para bloquear las sesiones de los usuarios.

Más información puede ser encontrada en Gu1’s Website y The H Open


Enlaces de interés:
Página oficial del proyecto X.org | www.x.org/wiki


Temas:
Actualidad, Software y paquetería


Etiquetas:
,

Feed Espacio LinuxSi este artículo ha sido de tu interés, considera hacer un comentario o suscribirte al feed para que te enteres de nuevos artículos a través de tu lector de noticias o email.

Acerca del autor

Soy un emprendedor de Internet. Me gusta el debate y la discusión en buenos términos. Creo en GNU/Linux y el software libre como una buena alternativa para quien la esté buscando.

2 Comentarios para “Fallo en X.org Server permite desbloquear el equipo sin autorización”

  1. Pues en mi Arch el agujero está.

  2. Hola, en Ubuntu 11.10, he sufrido esa falla. Si se tiene 2 cuentas y se inicia sesión en las dos con Crtl + Alt + F7 y después F8 se puede entrar sin la contraseña. No reporte el fallo pues pensé que era el único, pero leí este artículo y veo que no.

Publica un comentario

Puedes usar estas etiquetas XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <blockquote cite=""> <code> <em> <strong>