Linux-Bildschirmsperre leicht zu umgehen

Durch einen Zufall hat der französische Blogger Gu1 in der Version 1.11 des X-Servers von X.org eine Sicherheitslücke entdeckt. Wenn der Bildschirm eines Linux/Unix-Systems durch den Bildschirmschoner gesperrt wird, ist normalerweise ein Passwort nötig, damit der Benutzer wieder auf den Desktop zugreifen kann. Bei einigen Systemen genügt es aber die Tasten Strg und Alt zusammen mit der „*“-Taste oder „/“-Taste auf dem Nummernblock zu drücken, um die Sperre aufzuheben. Eine Passworteingabe ist also nicht erforderlich, um Zugriff auf den Computer zu erlangen.

Der+Who-t+%28Who-T%29: X.org-Entwickler Peter Hutterer sieht die Verantwortung dafür in einem Kommunikationsproblem unter den Entwicklern. Diese Tastenkombination ist normalerweise nur für das Debugging zuständig. Die Option Allowclosedowngrabs erlaubt mit der Tastenkombination laufender Anwendungen zu beenden. Erstmals wurde sie 2008 eingesetzt, war aber standardmäßig deaktiviert. Damals haben die Entwickler sogar in der Dokumentation vor der Funktion gewarnt. Seit September 2011 ist die Funktion in der Version 1.11 des Xservers aber standardmäßig aktiviert und die Entwickler hatten vergessen, die Tastenkombination aus der Xkb-Keymap herauszunehmen.

Die Sicherheitslücke befindet sich in allen Distributionen, die die X-Server-Version 1.11 von X.org ausliefern. Dazu gehören beispielsweise Fedora 16, Debian (unstable und testing), Arch Linux, BSD, Solaris, Ubuntu 12.04 LTS. Welche X.org-Version auf Ihrem PC läuft, können Sie ermitteln, wenn Sie X -version in einem Terminalfenster eingeben.

Für Fedora 16 gibt es mit dem Paket xkeyboard-config-2.3-3.fc16 bereits ein Sicherheitsupdate, das sich über die Paketverwaltung installieren lässt. Benutzer der anderen betroffenen Systeme sollten sich bei Verlassen des PCs abmelden und sich nicht auf die Bildschirmsperre verlassen, bis ein Update verfügbar ist.