Abo
  • Services:
Anzeige
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr (Bild: Arun Suresh/CC-BY-3.0)

Lockscreen-Bug: Ubuntu mit vermeidbaren Sicherheitslücken

Der neue Lockscreen in Ubuntu hatte Sicherheitslücken, die zwar schnell behoben wurden, aber hätten vermieden werden können. Das schreiben zumindest ein X.org- und ein KDE-Entwickler, die derartige Fehler seit langem kennen.

Anzeige

Die in Ubuntu 14.04 enthaltene neue Bildschirmsperre hatte einen Fehler, der es erlaubte, die Sperre einfach zu umgehen, indem die Anwendung zum Absturz gebracht wurde. Dieser Fehler ist zwar noch vor der finalen Veröffentlichung innerhalb eines Tages behoben worden. Derartige Fehler seien aber Folge eines schlechten Designs und hätten vermieden werden können, schreiben der Entwickler des X-Screensavers Jamie Zawinski und KWin-Entwickler Martin Gräßlin.

Seit zehn Jahren dokumentiert

Die beiden Entwickler berichten dabei aus eigener Erfahrung, denn auch sie sind mit derartigen Problemen in der Vergangenheit in Berührung gekommen. Denn der X-Server selbst habe keine eingebaute Möglichkeit, den Bildschirm zu sperren, das müssten Anwendungen übernehmen, wie Zawinski schreibt.

Diese müssten so gestaltet sein, dass sie unter keinen Umständen solche Fehler zulassen. Das heißt, sie müssten, wenn überhaupt, dann zumindest "sicher abstürzen". Das habe Zawinski schon vor über 20 Jahren mit dem X-Screensaver gemacht und im Jahr 2004 erstmals schriftlich dokumentiert. Damals hatte er beschrieben, wie Toolkits, etwa GTK, darin integriert werden könnten.

KDE mit ähnlichen Erfahrungen

Auch das KDE-Projekt hat in den vergangenen Jahren seine Bildschirmsperre grundlegend überarbeitet. Dessen Darstellung ist nun komplett in QML geschrieben, bereitete den Entwicklern aber anfangs ähnliche Probleme.

Auf Google+ schreibt der KDE-Entwickler und Maintainer der Fensterverwaltung Martin Gräßlin, es sei ein explizites Ziel der Entwicklung gewesen, dass ein Absturz der Login-Anwendung den Bildschirm unter keinen Umständen freigibt. Als klarwurde, dass der ursprüngliche Plan diese nicht erlauben würde, hat das Team den Code in den Session-Server verschoben und in zwei Prozesse aufgeteilt. Kommt es zum Absturz, bricht schlimmstenfalls die gesamte Desktopsitzung ab.

Die Berichte ähneln sich insofern, als diese den Ubuntu-Entwicklern zumindest implizit unterstellen, nicht aus den Fehlern anderer in der Linux-Community zu lernen. Für die vermutlich immer noch bekannteste und am weitesten verbreitete Linux-Distribution ist das eine schwerwiegende Beurteilung. Insbesondere weil es sich um teils kritische Sicherheitslücken handelt.


eye home zur Startseite
honk 07. Mai 2014

Der Bug betrifft nur Unity, die Aussage das Ubuntu am verbreitesten ist, bezieht sich...

Bigfoo29 30. Apr 2014

Die Frage ist, was jemanden davon abhält, den LOCK-Screen zum Absturz zu bringen, dann...

PhilipJ.Fry 29. Apr 2014

Es geht nicht um die Sicherheitslücke an sich. Sie zeigt nur wie man bei Ubuntu arbeitet...



Anzeige

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Schweinfurt
  2. via Nash direct GmbH, Frankfurt
  3. Chrono24 GmbH, Karlsruhe
  4. Deutsche Telekom Technik GmbH, verschiedene Standorte


Anzeige
Top-Angebote
  1. 29,99€ + 4,99€ Versand oder Abholung im Markt
  2. 29,99€ + 4,99€ Versand oder Abholung im Markt
  3. 157,76€ (Bestpreis!)

Folgen Sie uns
       


  1. Quartalsbericht

    Amazons Gewinn bricht stark ein

  2. Sicherheitslücke

    Caches von CDN-Netzwerken führen zu Datenleck

  3. Open Source

    Microsoft tritt Cloud Native Computing Foundation bei

  4. Q6

    LGs abgespecktes G6 kostet 350 Euro

  5. Google

    Youtube Red und Play Music fusionieren zu neuem Dienst

  6. Facebook Marketplace

    Facebooks Verkaufsplattform kommt nach Deutschland

  7. Ryzen 3 1300X und 1200 im Test

    Harte Gegner für Intels Core i3

  8. Profitbricks

    United Internet kauft Berliner Cloud-Anbieter

  9. Lipizzan

    Google findet neue Staatstrojaner-Familie für Android

  10. Wolfenstein 2 angespielt

    Stahlskelett und Erdbeermilch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Poets One im Test: Kleiner Preamp, großer Sound
Poets One im Test
Kleiner Preamp, großer Sound
  1. Dunkirk Interstellar-Regisseur setzt weiter auf 70mm statt 4K
  2. Umfrage Viele wollen weg von DVB-T2
  3. DVB-T2 Freenet TV will wohl auch über Astra ausstrahlen

Shipito: Mit wenigen Mausklicks zur US-Postadresse
Shipito
Mit wenigen Mausklicks zur US-Postadresse
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland

  1. Re: Nutzer werden gezwungen?

    corruption | 00:51

  2. Re: Das ist doch Dummenverar....

    GenXRoad | 00:49

  3. Re: Erstmal logisch Nachdenken, dann Berichten...

    Faksimile | 00:24

  4. Re: Warum kein Hyperthreading?

    plutoniumsulfat | 00:19

  5. Re: Noch mehr Müll zum ansehen

    plutoniumsulfat | 00:16


  1. 22:47

  2. 18:56

  3. 17:35

  4. 16:44

  5. 16:27

  6. 15:00

  7. 15:00

  8. 14:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel