Die Bildschirmsperre von OpenSuse 11.2 lässt sich mit einfachsten Mitteln aushebeln. Wie Tests von heise Security auf einen Leserhinweis hin ergaben, lässt sich eine gesperrte Desktop-Sitzung ohne Passwort entsperren, indem man die Eingabetaste gedrückt hält. Dies führt bereits nach wenigen Sekunden dazu, dass der Gnome-Screensaver abstürzt und den Desktop freigibt.
Betroffen ist das Paket gnome-screensaver-2.28.0-2.3 aus den Standard-Repositories, aber möglicherweise enthalten auch ältere Pakete den Fehler. In anderen auf Gnome 2.28 basierenden Linux-Distributionen wie Ubuntu und Fedora arbeitet die Bildschirmsperre hingegen einwandfrei. Es ist unwahrscheinlich, dass sich auch die Suse-Enterprise-Versionen auf diese Weise überlisten lassen, da diese noch auf OpenSuse 11.1 basieren.
Auf den Servern für künftige Updates ist bereits Version 2.28.0-2.4.1 des Gnome-Screensavers erhältlich. Wer auf die Bildschirmsperre angewisen ist, um in unbeobachteten Momenten unbefugten Zugriff auf den Desktop zu verhindern, sollte auf die neue Version aktualisieren. Die Adresse des Test-Update-Repositories lautet
http://download.opensuse.org/update/11.2-test/. Das neue Paket lässt sich auch manuell herunterladen (für i586 und x86_64) und per rpm -Uhv <paketname>.rpm auf der Kommandozeile installieren. Wann das Update in die regulären Update-Repositories wandert, konnte Suse bislang nicht klären.
Quelle :
www.heise.de
