Bulletin d'alerte Debian

DLA-1959-1 xtrlock -- Mise à jour de sécurité pour LTS

Date du rapport :
14 octobre 2019
Paquets concernés :
xtrlock
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-10894.
Plus de précisions :

Les périphériques tactiles multipoints n’étaient pas désactivés par l’utilitaire de verrouillage d’écran xtrlock.

Xtrlock ne bloquait pas les évènements d’écran multipoints, aussi un attaquant pouvait encore entrer et ainsi contrôler divers programmes tel Chromium, etc., à l’aide d’évènements « multipoints » incluant le défilement d’écran, « pincer et agrandir » ou même être capable de fournir des clics de souris normaux en pressant le pavé tactile et cliquant avec un autre doigt.

  • CVE-2016-10894

    Xtrlock jusqu’à 2.10 ne bloquait pas ces évènements. En conséquence, un attaquant d’un écran verrouillé pouvait envoyer une entrée (et par conséquent contrôler) divers programmes tel Chromium à l’aide d’évènements tels que le défilement d’écran, « pincer et agrandir » ou même des clics de souris normaux (en pressant le pavé tactile et cliquant avec un autre doigt).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.6+deb8u1. Cependant, cela ne corrige pas la situation où un attaquant branche un périphérique tactile multipoint après le verrouillage d’écran (plus d’info).

Nous recommandons de mettre à niveau vos paquets xtrlock en attente d’un correctif plus important.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.