她们只是在鼠标和屏幕上一通乱按,就轻松绕开密码,步入了被锁定的Linux系统桌面。
近来,一位程序员儿子就这样,眼睁睁地看着自己的笔记本被儿子“玩坏”。
作为一名程序员,他首先想到的不是打骂小孩桌面级linux,而是——如何复现漏洞。
他发觉这个漏洞确实是小孩乱按造成的,在个别特殊键盘组合下,Linux的屏幕锁定进程会崩溃,因而绕开了密码。
也就是说,只要有人晓得了这个漏洞,无需密码就可以偷偷打开他人早已锁定的Linux笔记本。
他将情况反馈到官方GitHub上,最终这个奇怪的漏洞上周被即将修补了。
但这并不能让程序员们放心,这种年因Linux桌面进程崩溃造成的安全漏洞层出不穷,屡见不鲜,你永远不晓得下一个bug会是哪些。
儿子们“乱杀”的桌面系统漏洞
这两个孩子,是如何“发现”这一漏洞的呢?
那位程序员儿子将自己的笔记本锁定后,小孩们企图解锁它,就开始在笔记本按键上瞎打。
△大致是这个画风
忽然,锁屏界面消失,女儿们成功步入了Linux系统。
哪些?连密码都没有输入?
他让她们再演示一次。此次,女儿们同样做到了,但仍然只是“乱敲”键盘而已。
太奇怪了。
他在两个孩子离开后,自己又悄悄地试了一下,没能成功。
不过他觉得,这肯定是个漏洞,由于早已亲眼见过两次了。
那位程序员儿子所用的桌面系统是Cinnamon(Linux桌面环境之一),他猜想,Cinnamon是不是有哪些奇怪的bug,在不输入密码的情况下也能解锁桌面。
当日早上10点半,他在LinuxMint的GitHub页面上反馈了这一bug,并描述了儿子们敲打按键的场景:
她们同时按下了数学按键和屏幕虚拟按键,但是,尽量多按一些虚拟按键。
消息一出,马上就有网友表示,自己同样遇见了这些问题,但是用的桌面系统也是Cinnamon。
此后,LinuxMint程序员火速赶往现场。
检测后发觉,这的确是一个bug,但是Cinnamon4.2以上的桌面系统,就会遭到影响,由于这一版开始支持屏幕虚拟按键了。
造成这个bug的具体行为是:长按“e”键,并在虚拟按键上选中“ē”。
如今linux site:infoq.cn,LinuxMint早已为这个漏洞推出了一个新补丁,不过须要自己自动安装。
人生苦短,不如用KDE(自动狗头)。
高手:17年前我就警告过她们
对于这么愚蠢而简单的漏洞,自然造成各路程序员对Linux桌面的吐槽。
关于这个问题的GitHubissue页面都被程序员们玩坏了。
有人说:这个CVE应当归功于儿子们…
还有人在发贴中发个表情包:我想程序员们应当会这样复现bug。
但要论吐槽最狠的,还是知名程序员高手jwz。
明天中午,那位高手又双叒叕发了一篇文章来吐槽此事,标题是《我早已告诉过大家之2021版》。
由于早在17年前,他就警告过Cinnamon和GNOME官方:
假如没有在Linux上运行XScreenSaver,这么可以你的屏幕就相当于没有锁定。
然后每隔几年,jwz就会下来把这段话再说一遍。
jwz还嘲讽说:“翻车”一次是碰巧,两次是巧合,三次是敌方的破坏,四次是GNOME官方。
而这四次安全漏洞,jwz都有详尽的记录:
修bug引起的新漏洞
造成LinuxMint漏洞是因为3月前修补另一个bug造成的。
这个漏洞存在于Linux显示服务xorg-x11-server中,其最大恐吓是对数据绝密性和完整性以及系统可用性的恐吓。
更让人哭笑不得的是,Ubuntu20.04在向后移植xorg的时侯,因为使用了没有该bug的1.20.9版,反倒躲过一劫。
当Ubuntu的开发人员意识到没有打上CVE-2020-25712补丁后,她们又中了新的漏洞。
结果就是,xorg更新修补之后,任何人都可以让屏幕锁定程序崩溃,之后步入桌面。
无独有偶linux下载工具,这不禁让人想起GNOME两个月前的另一个“低级”漏洞。
这个锅该让GNOME来背吗?jwz觉得,归根结底是由于现今的Linux图形化界面根基X11存在着不可修补的严重问题:
1、锁定和身分验证是操作系统级别的问题。
虽然X11是Linux计算机操作系统的核心,但它的设计没有安全性可言,锁定程序必须以普通的、非特权的用户级应用程序一样运行。
2、X11体系结构的这一错误永远没法修补。
X11太旧、太死板,而且有太多利益相关者难以对它进行任何有意义的修改。这就是为何人们不断尝试替换X11的缘由并失败了,由于它根深蒂固。
尽管如今有Wayland作为X11的代替品桌面级linux,但仍有网友替换为Wayland后,Ubuntu桌面仍然存在个别缺陷。
例如唤起笔记本后,会在原先的桌面逗留10~20秒就能步入屏保状态,这个过程中桌面的隐私会一览无余。
鉴于Linux桌面的安全性问题漏洞百出,为了避免未被发觉漏洞遭借助,有用户建议先安装XSecureLock,多上一把锁。
我热切期盼着看到她们怎么解决这个问题。
jwz在自己的博客里如是说。
参考链接:
:///blog/2021/01/i-told-you-so-2021-edition/
end
公众号留言金鱼送书
以下推荐的5本书你最喜欢哪一本?分享一下你喜欢的理由,以及平常工作学习积累的经验,或则分享关于这篇推文内容的个人理解,活动截至时会选出5名小金鱼,抽奖者可以获得里面的纸质书籍1本,免费包邮到家。
活动截至时间:2021年01月26日16:00整
对奖截至时间:2021年01月28日16:00整
书籍展示
《Python编程:从入门到实践第2版》经典Python入门「蟒蛇书」,英文版已再版30余次,销量90万+册,长期居于易迅当当销量排名榜第一。
《Python网路爬虫权威手册(第2版)》采用简约强悍的Python语言,全面介绍网页抓取技术,解答众多常见问题,是把握从数据爬取到数据清洗全流程的系统实践手册。
《深度学习入门:基于Python的理论与实现》日本深度学习入门精典畅销书,常年位斯特拉斯堡亚“人工智能”类图书榜首,超多四星好评。本书是深度学习真正意义上的入门书,深入浅出地分析了深度学习的原理和相关技术