URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 100618
[ Назад ]
Исходное сообщение
"В X.Org Server выявлено 12 уязвимостей"
Отправлено opennews , 10-Дек-14 10:38
Разработчики проекта X.Org сообщили (http://seclists.org/oss-sec/2014/q4/994) об устранении 12 уязвимостей в X.Org Server, некоторые из которых имеют характер критических проблем и позволяют организовать выполнение кода с привилегиями запущенного X-сервера при получении специально оформленного запроса от клиента. Ряд проблем затрагивает реализацию таких популярных расширений, как GLX, DRI3, Present, Render, RandR, XVideo и XInput. Интересно, что некоторые уязвимости присутствуют в коде уже достаточно давно, например, есть проблемы появившиеся в 1987, 1989, 1994, 1996 годах. Исправления пока доступны в форме патчей (http://www.x.org/wiki/Development/Security/Advisory-2014-12-09/).URL: http://seclists.org/oss-sec/2014/q4/994
Новость: http://www.opennet.me/opennews/art.shtml?num=41229
Содержание
- В X.Org Server выявлено 12 уязвимостей,Fracta1L, 10:38 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 11:16 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,ar237su, 11:40 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 17:38 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Vkni, 18:33 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 19:50 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Vkni, 20:08 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Нанобот, 10:40 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 19:59 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Омский линуксоид 2, 11:49 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 11:52 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 20:03 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 19:52 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 12:20 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 13:31 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 13:42 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 13:53 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 20:01 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 19:55 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 15:23 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,pavlinux, 17:50 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,pavlinux, 17:57 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 20:04 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,pavlinux, 21:54 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Аноним, 17:44 , 11-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Baz, 22:38 , 10-Дек-14
- В X.Org Server выявлено 12 уязвимостей,adolfus, 12:45 , 11-Дек-14
- В X.Org Server выявлено 12 уязвимостей,Andrey Mitrofanov, 13:26 , 11-Дек-14
- В X.Org Server выявлено 12 уязвимостей,iZEN, 16:40 , 11-Дек-14
Сообщения в этом обсуждении
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Fracta1L , 10-Дек-14 10:38
А исправление иксов в общем доступно в форме Wayland.
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 11:16
http://lists.freedesktop.org/archives/wayland-bugs/2014-Dece...да да..
"В X.Org Server выявлено 12 уязвимостей"
Отправлено ar237su , 10-Дек-14 11:40
Совершенно верно, иксам место на помойке
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 17:38
> Совершенно верно, иксам место на помойке Тебе там и так тесно :)
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Vkni , 10-Дек-14 18:33
Он просто переживает, что сидит там один и без Хов. :-)
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 19:50
Дайте ему уже иксы, и все будут на своих местах =)
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Vkni , 10-Дек-14 20:08
Не берёт!
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Нанобот , 10-Дек-14 10:40
>есть проблемы появившиеся в 1987, 1989, 1994, 1996 годах27 лет багу -- они переплюнули баш!
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 19:59
>>есть проблемы появившиеся в 1987, 1989, 1994, 1996 годах
> 27 лет багу -- они переплюнули баш!И это еще не предел! Ждем дыр 1984 года выпуска.
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Омский линуксоид 2 , 10-Дек-14 11:49
Выявленные и исправленные уязвимости - две большие разницы. Вот расстроили Омских линуксоидов...
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 11:52
Последнее предложение не осилил дочитать?
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 20:03
Нормальные люди экономят свое время, и читают только заголовок новости.
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 19:52
> Выявленные и исправленные уязвимости - две большие разницы. Вот расстроили Омских линуксоидов... Новость о том, что их исправили. А о том, что выявили, новости не было. Такие вещи заинтересованные люди предпочитают не афишировать.
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 12:20
> есть проблемы появившиеся в 1987, 1989, 1994, 1996Ммм.. свежак! :)
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 13:31
> давно, например, есть проблемы появившиеся в 1987, 1989, 1994, 1996 годах. А был бы закрытый софт, никогда бы не нашли, вотъ.
Представил как через тысячу лет инопланетяне откопали остатки земных компьютеров и нашли там дыры в открытых программах, а в закрытых не нашли
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 13:42
Вы не можете потерпеть со своим блеянием по поводу дыр в открытых vs закрытых программах?
Побойтесь бога.
Последствия shellshock и hearthbleed еще не полностью устранили.
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 13:53
> Последствия shellshock и hearthbleed еще не полностью устранили.Да и IE3 наверное еще не все пропатчили :)
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 20:01
>> Последствия shellshock и hearthbleed еще не полностью устранили.
> Да и IE3 наверное еще не все пропатчили :) Зато в IE6 все чики-пуки! А другими браузерами можно и пренебречь.
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 19:55
> hearthbleed MGIMO English?
А если серьезно, то в мелкомягком SSLе совсем недавно нашли дырку, куда более фееричную, чем heartbleed.
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 15:23
Xorg это полноценности ось, ващемта в своё время была
"В X.Org Server выявлено 12 уязвимостей"
Отправлено pavlinux , 10-Дек-14 17:50
Чо?! o_O
"В X.Org Server выявлено 12 уязвимостей"
Отправлено pavlinux , 10-Дек-14 17:57
А у меня ещо есть пару експлойтаф! И конечна хрен покажу.
Ну а кто очкует - выкидывайте утиль xrandr или запрещайте запуск от любого юзера.---
Ах да, и ещё в xorg.conf забанить Ctrl+Alt+"numpad +/-"
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 10-Дек-14 20:04
> А у меня ещо есть пару експлойтаф! И конечна хрен покажу.
> Ну а кто очкует - выкидывайте утиль xrandr или запрещайте запуск от
> любого юзера.
> ---
> Ах да, и ещё в xorg.conf забанить Ctrl+Alt+"numpad +/-" А проблему с переполнением буфера при клике по длинной ссылке еще не починили?
"В X.Org Server выявлено 12 уязвимостей"
Отправлено pavlinux , 10-Дек-14 21:54
буфера где? ссылке какой? куда? длина? клике на чём, на что?...
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Аноним , 11-Дек-14 17:44
> буфера где? ссылке какой? куда? длина? клике на чём, на что?...Ну вот допустим в какой-нибудь левой проге (pidgin для определенности) я кликаю по длинной ссылке, и иксы вылетают. Похоже на переполнение буфера.
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Baz , 10-Дек-14 22:38
Федоре не грозит... http://puu.sh/dbBFC/d4d34389ba.jpg (из сообщества Fedora)
"В X.Org Server выявлено 12 уязвимостей"
Отправлено adolfus , 11-Дек-14 12:45
> позволяют организовать выполнение кода с привилегиями запущенного X-сервераЧто-то я не понял -- разве X-сервер не от пользователя запускается?
$ startx
"В X.Org Server выявлено 12 уязвимостей"
Отправлено Andrey Mitrofanov , 11-Дек-14 13:26
>> позволяют организовать выполнение кода с привилегиями запущенного X-сервера
> Что-то я не понял -- разве X-сервер не от пользователя запускается?
> $ startx Запуск [с правами X] и выполнение [с правами Y] не одно и то же ж:
$ ps -AHf|grep [/]X
root 3577 3517 1 Дек01 tty7 02:53:14 /usr/bin/X :0 vt7 -br -nolisten tcp -auth /var/run/xauth/A:0-2rBdab
$ ls -l /usr/bin/X
-rwsr-sr-x 1 root root 9508 Май 12 2013 /usr/bin/X
"В X.Org Server выявлено 12 уязвимостей"
Отправлено iZEN , 11-Дек-14 16:40
На Фре пофиксили: http://www.freshports.org/x11-servers/xorg-server/