Vigil@nce : GNOME, arrêt de gnome-screensaver
février 2010 par Vigil@nce
Un attaquant local peut connecter un deuxième écran, pour stopper
gnome-screensaver.
– Gravité : 1/4
– Conséquences : accès/droits utilisateur
– Provenance : console utilisateur
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 15/02/2010
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme gnome-screensaver verrouille l’écran, et affiche une
animation d’attente.
Lorsqu’un système est verrouillé, un attaquant peut :
– connecter un deuxième écran
– attendre qu’il soit reconnu, et que la zone de saisie du mot de
passe s’affiche sur cet écran
– débrancher l’écran secondaire
– presser quelques touches sur le clavier
Cette succession d’opérations force gnome-screensaver à gérer des
touches associées à un écran qui n’existe plus, ce qui provoque
son arrêt.
Un attaquant local peut donc connecter un deuxième écran, pour
stopper gnome-screensaver, afin d’accéder à la session d’un
utilisateur.
CARACTÉRISTIQUES
– Références : 564464, 609789, CVE-2010-0422, VIGILANCE-VUL-9452
– Url : http://vigilance.fr/vulnerabilite/GNOME-arret-de-gnome-screensaver-9452