有人说:这个CVE应该归功于孩子们…
还有人在回帖中发个表情包:我想程序员们应该会这样复现bug。
但要论吐槽最狠的,还是著名程序员大神jwz。
今天凌晨,这位大神又双叒叕发了一篇文章来吐槽此事,标题是《我已经告诉过你们之2021版》。
因为早在17年前,他就警告过Cinnamon和GNOME官方:
如果没有在Linux上运行XScreenSaver,那么可以你的屏幕就相当于没有锁定。
之后每隔几年,jwz都会出来把这段话再说一遍。
jwz还调侃说:“翻车”一次是偶然,两次是巧合,三次是敌人的破坏,四次是GNOME官方。
而这四次安全漏洞,jwz都有详细的记录:
- CVE-2019-3010,从Oracle Solaris屏幕保护程序可以获得特殊权限升级;
- CVE-2014-1949, MDVSA-2015:162:在Cinnamon屏幕保护程序中按菜单键,再按ESC键,就可以进入shell;
- 按住向下键,解锁Cinnamon屏幕保护程序;
- 按住回车键,解锁GNOME屏幕保护程序。微拍福利
修bug引发的新漏洞
导致Linux Mint漏洞是由于3月前修复另一个bug引起的。
这个漏洞存在于Linux显示服务xorg-x11-server中,其最大威胁是对数据机密性和完整性以及系统可用性的威胁。
更让人哭笑不得的是,Ubuntu 20.04在向后移植xorg的时候,由于使用了没有该bug的1.20.9版,反而逃过一劫。
当Ubuntu的开发人员意识到没有打上CVE-2020-25712补丁后,他们又中了新的漏洞。
结果就是,xorg更新修复以后,任何人都可以让屏幕锁定程序崩溃,然后进入桌面。
无独有偶,这不禁让人想起GNOME两个月前的另一个“低级”漏洞。
一位程序员通过将账户服务陷入无限循环,使GNOME的账户守护程序崩溃。之后就能在锁定界面添加新的sudo用户,并获取root权限。