Gnome-Bildschirmsperre in OpenSuse-Linux wirkungslos [2. Update]

Die Sperre lässt sich mit einfachsten Mitteln zum Absturz bringen, sodass man ohne Passwort Zugriff auf den Desktop erhält.

In Pocket speichern vorlesen Druckansicht 339 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christiane RĂĽtten

Die Bildschirmsperre von OpenSuse 11.2 lässt sich mit einfachsten Mitteln aushebeln. Wie Tests von heise Security auf einen Leserhinweis hin ergaben, lässt sich eine gesperrte Desktop-Sitzung ohne Passwort entsperren, indem man die Eingabetaste gedrückt hält. Dies führt bereits nach wenigen Sekunden dazu, dass der Gnome-Screensaver abstürzt und den Desktop freigibt.

Betroffen ist das Paket gnome-screensaver-2.28.0-2.3 aus den Standard-Repositories, aber möglicherweise enthalten auch ältere Pakete den Fehler. In anderen auf Gnome 2.28 basierenden Linux-Distributionen wie Ubuntu und Fedora arbeitet die Bildschirmsperre hingegen einwandfrei. Es ist unwahrscheinlich, dass sich auch die Suse-Enterprise-Versionen auf diese Weise überlisten lassen, da diese noch auf OpenSuse 11.1 basieren.

Auf den Servern für künftige Updates ist bereits Version 2.28.0-2.4.1 des Gnome-Screensavers erhältlich. Wer auf die Bildschirmsperre angewiesen ist, um in unbeobachteten Momenten unbefugten Zugriff auf den Desktop zu verhindern, sollte auf die neue Version aktualisieren. Die Adresse des Test-Update-Repositories lautet http://download.opensuse.org/update/11.2-test/. Das neue Paket lässt sich auch manuell herunterladen (für i586 und x86_64) und per rpm -Uhv <paketname>.rpm auf der Kommandozeile installieren. Wann das Update in die regulären Update-Repositories wandert, konnte Suse bislang nicht klären.

Update:

Offenbar lässt sich das Problem nicht auf allen Systemen reproduzieren. Die neue Paketversion ist inzwischen als reguläres Update verfügbar, jedoch behebt sie das Problem nicht. Laut Marcus Meissner vom Suse-Security-Team handelt es sich wahrscheinlich um den Gnome-Bug #598476, "Don't crash when lock dialog dies during shake". Dieser wurde im Quellcodeverwaltungssystem von Gnome erst in Version 2.28.1 gefixt. Ein installationsfertiges Paket gibt es von dieser Version noch nicht.

2. Update:

Suse stellt nun die fehlerbereinigte Version gnome-screensaver 2.28.3 als reguläres Update bereit. (cr)