LinuxMint项目最近修复了一个安全漏洞,该漏洞可能允许威胁者绕过操作系统的屏幕保护程序及其密码并访问锁定的桌面。该漏洞首先由昵称为robo2bobo的用户在LinuxMint错误报告中报告。robo2bobo使用的桌面系统是Cinnamon。他说,他的两个没有任何技术背景的孩子在键盘和屏幕上随意点击后,LinuxMint屏幕保护程序崩溃了;锁定Linux系统桌面。并且他还进行了一次复现,证明这不是偶然事件,“我还以为是绝无仅有的事件,结果他们第二次成功了。”bug一经提出,就引起了很多用户的同情;他们反映遇到了同样的问题,他们使用的桌面系统也是Cinnamon。据悉,Cinnamon4.2以上的桌面系统都会受到这个bug的影响。作为回应,LinuxMint首席开发人员ClementLefebvre表示,该问题最终可追溯到libcaribou,这是LinuxMint使用的桌面界面Cinnamon中包含的屏幕键盘(OSK)组件。具体来说,当用户按下屏幕键盘上的“ē”键时,就会出现该错误。在大多数情况下,这个错误应该会导致Cinnamon桌面进程崩溃;但是,如果在屏幕保护程序下打开软键盘,该错误将导致屏幕保护程序崩溃,从而允许用户访问底层桌面。Lefebvre表示,该漏洞是在去年10月为LinuxMint操作系统修补另一个名为CVE-2020-25712的漏洞时引入的。目前,LinuxMint已经针对该漏洞推出了新的补丁。然而,事情还没有结束。知名程序员大神JWZ针对这一事件发表了一篇题为《我告诉过你,2021版》的文章,抱怨他早在17年前(2004年)就警告过当局。“如果你没有在Linux上运行XScreenSaver,你可以解锁屏幕。”JWZ指出,他每隔几年就会遇到这样的漏洞;然而,每次他报告这个问题时,LinuxMint都回复说“已经修复”。他记录了四个相关的安全漏洞,如下:CVE-2019-3010,可以从OracleSolaris屏幕保护程序获得特殊权限提升;CVE-2014-1949,MDVSA-2015:162:在Cinnamon屏幕保护程序中按菜单键,然后按ESC键,您可以进入shell;按down键解锁Cinnamon屏保;按enter键解锁GNOME屏保。JWZ认为这个bug有几个原因:一是安全关键代码很难写,一般人做不到.二是加锁和鉴权是操作系统层面的问题,X11是Linux桌面电脑操作系统的核心,但它的设计完全没有任何安全性,所以加锁过程必须像正常一样使用,这使得问题更难解决。X11架构也存在无法修复的严重问题。“X11太旧,太死板,有太多利益相关者陷入泥潭,再也不可能对它做出任何有意义的改变。这就是为什么人们一直试图取代X11而失败,因为它太根深蒂固了”在文章的最后,JWZ还表示,他很想知道政府会如何解决这个问题。紧接着,有网友在LinuxMint的bug报告下贴出了JWZ文章的链接,并在推特上转发了相关官方人员,导致了Lefebvre的回复。对此,Lefebvre毫不客气地表示,JWZ的博文很痛苦,没有建设性,而且有些废话;尽管他提出了问题,但他没有给出任何反馈。同时,列斐伏尔也一一反驳了JWZ提出的批评。他还喊话希望JWZ不要做只会说话的人,毕竟谁都会说漂亮话。与其如此,还不如让两党携手,共同打造一条最安全的道路;将代码审计和功能开发结合在一起,成为问题解决者。”我宁愿接受你的观点,也不愿接受愚蠢的“我告诉过你”的博文-locker的审计。别担心,参与其中的解决方案。》本文转载自OSCHINA原标题:Linux桌面被小孩子随意黑,程序员大神与官方人员开战。原文地址:https://www.oschina.net/news/127538/linuxmint-cinnamon-screensaver?utm_source=tuicool&utm_medium=推荐
