Sicherheitslücke im Gnome 3 Desktop

Posted on 9. März 2015 by marius

Im Gnome 3 Desktop klafft mindestens seit der Version für Fedora 18 eine Sicherheitslücke.

Diese betrifft i.d.R. Benutzer eines Laptops, da diese das Laptop öfters in den Suspend-on-Disk Modus versetzen um Energie zu sparen, auf Deutsch: Den Deckel zu machen 😉

Wenn das passiert, wird der Bildschirm schwarz, weil er ausgeht. Wenn der Bildschirm wieder angeht, sieht man auf einigen Rechnern den Inhalt des Desktops vor dem Suspend, bis der Screensafer einsetzt und dem ganzen einen Riegel vorschiebt:

Am 9.12.2015 wurde die Lücke zum zweiten Mal an Fedora und damit an Gnome gemeldet.

Ein zweites Mal ? Ja, genau. Schon in Fedora 18 wurde auf einem Laptop dieser Effekt bemerkt und an Fedora gemeldet. Da es sich um einen Security-Bug handelt, wurde darüber nichts bekannt. Im Laufe der nächsten Tage, kamen die Redhat- und Gnome-Entwickler zu dem Schluß, des es an dem „alten“ „langsamen“ Laptop liegen mußte und es modernen nicht reproduziert werden konnte.

Nun sind 2,5 Jahre rum und ich habe ein neues Laptop…. und den gleichen Bug wie vor 2,5 Jahren.

Diesmal gab es aber eine Fristsetzung für Gnome. Das Sie diesen Beitrag lesen können, bedeutet, daß die Schweigefrist von 90 Tagen um ist.

Wie können Sie diesen Bug ausnutzen um an Informationen zu gelangen ?

Eine Voraussetzung ist natürlich, daß das Opfer sensitive Daten angezeigt hat, bevor der Suspendmodus eingeleitet wurde. Ansonsten sehen Sie zwar den Desktop, aber außer einigen anrüchigen Pornohintergründen, wenden Sie vermutlich kaum etwas „entdecken“ können 🙂

Wie exploiten wird dies nun ?

Das ist schon so trivial, daß man sich schämen muß es zu erwähnen:

Handy nehmen
Videoaufnahme starten
auf den Bildschirm richten
Leertaste auf dem Opfer Laptop benutzen
etwas warten bis das Bild kommt.
Weggehen.

Spulen Sie die Videoaufnahme langsam ab und halten Sie einfach in dem Moment an, wenn der Bildschirm zusehen ist.

Kleiner Tip:

Das Laptop und der Monitor sollten in einer hellen Umgebung aufgenommen werden, also nicht nur den Bildschirm sondern auch etwas Dekor, weil dann der Videochip die Aufnahme nicht überstrahlt, wenn es von schwarz auf weiß umschlägt.

Gegenmaßnahmen:

Zuerst den Screensafer starten, dann den Suspendmodus benutzen.

Betroffen:

min. Fedora 18,19,20,21,22,23 mit Gnomedesktop
vermutlich: Ubuntu, Debian mit Gnome und alle Fedora vor 18 mit Gnome

Teamviewer für Linux auf Version 10 Updaten

Posted on 26. Januar 2015 by marius

Dein Update von Teamviewer 9 auf Teamviewer 10 hat funktioniert, aber Dein Desktop Icon ist weg ?

Dann hast Du vermutlich den gleichen kleinen Fehler gemacht, der mir unterlaufen ist: das Icon nicht vor der Installation zu löschen, sondern erst, wenn Teamviewer 10 drauf ist. Es ist nicht Deine Schuld, das Desktopiconmanagement der Gnome-Shell hat noch Platz für Verbesserungen.

Der Reinstall des RPM, so man es denn von hier runter lädt, nutzt mal rein gar nichts, weil das DesktopIcon nicht neu installiert wird.

Natürlich könnte man jetzt das RPM deinstallieren mit „erase“ und es dann noch mal ganz frisch installieren, aber das ist gar nicht nötig. Einfach das Desktopfile aus dem Installdirectory kopieren und dann neue Rechte setzen :

cp /opt/teamviewer/tv_bin/desktop/teamviewer-teamviewer10.desktop ~/Schreibtisch/
chmod 755 ~/Schreibtisch/teamviewer-teamviewer10.desktop

Fertig.

Ursachenforschung:

Das alte TV 9 Icon lag noch als „Zombie“ auf dem Desktop rum, nachdem das Paket ersetzt wurde. Wenn man das aber dann per Contextmenü löscht, löscht man eigentlich das neue Desktopfile von TV 10. Die Gnomeshell hat den Wechsel nicht mitbekommen und hält das geänderte File für ein neues File und räumt nicht sauber auf dem Desktop auf.

Wie man es vermeiden kann ..

Damit man sich dies erspart beim Wechsel von 10 auf 11, einfach nach dem das 11er Icon aufgetaucht ist, den Desktop mit ALT+F2 und dem Befehl „r“ neuladen. Schon ist die Leiche weg, ohne das man etwas zerschiesst.

Systemd: wenn set-default nicht funktioniert

Fedora empfiehlt auf den eigenen Seiten, daß man das Default.Target mit dem Befehl:

systemctl set-default graphical.target

setzen könnte. Das graphical.target ist dabei die Desktopoberfläche. Mit dem multi-user.target bekommt man nur die auf Server übliche Textkonsole zusehen.

Leider stimmt das nicht für jede Fedoraversion und z.b. bei Fedora 19 muß man selbst Hand anlegen:

ln -sf /usr/lib/systemd/system/multi-user.target /etc/systemd/system/default.target

Man kann auch den direkten runlevel als Ziel angeben:

z.b. /etc/systemd/system/default.target -> /lib/systemd/system/runlevel3.target

Im laufenden Betrieb kann man als Root mithilfe des isolate Befehls zwischen den Runleveln umschalten. Das ist zu Debugzwecken ganz praktisch.

systemctl isolate multi-user.target

Marius Welt

Tag Archives: fedora