В почтовом клиенте Evolution (http://www.gnome.org/projects/evolution/) обнаружены две критические уязвимости (http://secunia.com/advisories/30298/):
- "Evolution iCalendar Timezone Buffer Overflow (http://secunia.com/secunia_research/2008-22/advisory/)" - выполнение кода злоумышленника в момент открытия специальным образом скомпонованного письма, содержащего приложение в формате iCalendar с некорректными данными в поле часового пояса. Уязвимость проявляется только при отключенном плагине форматирования вывода ITip;
- "Evolution iCalendar "DESCRIPTION" Property Buffer Overflow (http://secunia.com/secunia_research/2008-23/advisory/)" - возможность выполнения кода злоумышленника при попытке ответить из окна "Calendars" на письмо с iCalendar запросом, содержащим слишком длинное значение свойства "DESCRIPTION".Наличие уязвимостей подтверждено в Evolution 2.22.1 и более ранних версиях. 26 мая был выпущен релиз 2.22.2 в который также не были внесены исправления, так как уведомление разработчикам было отправлено 27 мая.
URL: http://secunia.com/advisories/30298/
Новость: http://www.opennet.me/opennews/art.shtml?num=16301
гляжу! и точно!!!
как открываю письмо, так какой-то софт выполняется!
iProkololis' эти эволюшн...p.s.: ну вот почему всегда уязвимости заставляют посмотреть на продукт? В особенности люблю почитать исходники пхп-поделий после сообщений об их численных уязвимостях
ну и как? :)
пхп-поделия страдают от вашего взгляда? :)
>ну и как? :)
>пхп-поделия страдают от вашего взгляда? :)Да если бы... Наоборот, все чинятся да популярность обретают :'(
Вот тебе и никс на десктопе. rm -rf ~/*. Касперский там собирался антивирус для никсов выпускать?
>Вот тебе и никс на десктопе. rm -rf ~/*. Касперский там собирался
>антивирус для никсов выпускать?И что вирусного в этом вы нашли? Все, как бы, нормально. Юзер-данные и под вендой нормально удаляются.
С другой стороны попробуйте прожить в виндовс не качая креков и не устанавливая софт из жопы (качать непонятно откуда), а не как в линухе йумы и апт-геты.
Паршиво всё это. Системы сложнее, уязвимее и никуда от этого не деться :-/
код, написанный с "security in mind" - живет без патчей десятилетиями :) и никаких "уязвимостей" :)
"Никаких" -- это довольно громко, даже в mutt изредка бывали. И не только...
Смысл антивируса на свободной ОС поясните?
>Смысл антивируса на свободной ОС поясните?На шлюзЕ, на сквидЕ, на самбЕ.... итеде
Каму ехплойтик, каму горяченький !!!Вражеское письмо
http://bugzilla.gnome.org/attachment.cgi?id=111718&action=viewПослать эту месагу при помощи сендмыла
# /usr/sbin/sendmail <address-druga> < test.emlи открыть в evolution
Ну и патчик поглядите - http://bugzilla.gnome.org/attachment.cgi?id=111733&action=view
разослать друзьям 16 раз
иначе сшастя не видать
>разослать друзьям 16 раз
>иначе сшастя не видатьага ещё бы к ниму vmsplice с "dd if=/dev/zero of=/dev/root" приклеить ...
>С другой стороны попробуйте прожить в виндовс не качая креков и не устанавливая софт из жопы (качать непонятно откуда), а не как в линухе йумы и апт-геты.Вот тебе "репозиторий" (кстати законный, креков на нем, уже давно нет): http://samlab.ws/ .
На "не законные с креками" приводить ссылки не буду. Но такие "репозитории" тоже есть. :)
А хочешь покупать, то вот еще один, скажем: http://allsoft.ru.
И что законные, что не законные, что покупные, имеют средста "поиска пакетов" не хуже чем в ясте с синаптиком.
Знаешь. И некоторые репозитории для "йума и ап-гета", тоже поискать надо: там репозитории с версиями по новее, чаще обновляющиеся, или еще, почему, там, удобнее ("стандартные" не плохи, но порой не достаточны..., и не скажу, что недостаточными они бывают редко).
Если ты считаешь, что "йумы и ап-геты" поставляются с полным списком репозиториев, но или хотя-бы, с закоментированным полным списком (по умолчанию не видным), то ты сильно ошибаешся.
Поэтому винда виндой (ее глюки-глюками). Но про "качанье, под Виндой, из жопы, не известно откуда", и про "идеальный", с этой точки зрения Линукс, это бред красноглазия.
>Если ты считаешь, что "йумы и ап-геты" поставляются с полным списком репозиториев,
>но или хотя-бы, с закоментированным полным списком (по умолчанию не видным),
>то ты сильно ошибаешся.Я вот этот абзац не сильно понял. Что за закомментированый полный список, по умолчанию не видный?
>Вот тебе "репозиторий" (кстати законный, креков на нем, уже давно нет): http://samlab.ws/
>.Да ну нафиг, я лучще в синаптике галочки порасставляю.
Гораздо проще, чем типа: I agree, next, next, finish
>Вот тебе "репозиторий" (кстати законный, креков на нем, уже давно нет): http://samlab.ws/Поиск только полнотекстовый гугловский. Разделов софта нет. Пакетов нет (все файлы разные и требуют установки по разному). Куча непонятной рекламы. Какой же это репозитарий? Это самая настоящая жопа.
ну и что эта уязвимость дает? ну потру я свои файлы (ярлычки на столе :) ) и что система уязвимее стала? подумаешь какой ужас. В винде код будет выполняеться с привилегиями админа и доступ к 0 уровню получает, а тут "Страшный узбекский вирус" Тем более что уязвимость устранят в ближайшие часы.
Не приготовить яичницу не разбив яйца © сперто.
>ну и что эта уязвимость дает? ну потру я свои файлы (ярлычки
>на столе :) ) и что система уязвимее стала? подумаешь какой
>ужас.Не следует недооценивать возможность исполнения произвольного стороннего кода на своих системах. Эта уязвимость даёт, например, возможность знатно проспамить с полученной системы. Или использовать для дальнейших атак (хотя тут root уже полезней).
>В винде код будет выполняеться с привилегиями админа
Это если пробитый пользователь был админом.
Иными словами -- не стоит думать, что чугунные заслонки на глазах помогают.
Нифига это не получиться. чтобы поспамить надо вначале права рута получить. В винде же любой пользователь с любым уровнем доступа - ходячая бомба. Вирусяге пофиг что прав нет у пользователя, оно само сможет сломать систему и получить доступ высокого уровня
>Нифига это не получиться. чтобы поспамить надо вначале права рута получить. В
>винде же любой пользователь с любым уровнем доступа - ходячая бомба.
>Вирусяге пофиг что прав нет у пользователя, оно само сможет сломать
>систему и получить доступ высокого уровняФигня это. Сам лично видел, как спамил троян запущенный "в среде" огнелиса. То бишь юзер какой-то сайт просмотрел, зацепил на нем трояна, а тот троян начал слать спам. Отправитель был локалхост. Спам пёр пока не ребутнул систему. После руткитов не было обнаружено и система была один к одному с образом.
То есть вирус был исполняемым "в среде" огнелиса. Оттуда же и спамил. Вот так вот.
Жаль что сразу не сообразил, дамп памяти не сделал.
>Спам пёр пока не ребутнул систему. После руткитов не было обнаружено и система была один к одному с образом.это потому, что только ребутнул
а если бы еще из розетки выдернул, оторвал rj-45 и очистил bios (обычно перемычка на маме, но можно ножки закоротить, предварительно вытащив батарейку) - вот тогда бы точно rootkit установился.
readme короче читать надо перед установкой софта.
>Нифига это не получиться. чтобы поспамить надо вначале права рута получить.Так... ладно. Вопрос на засыпку: чтоб одно письмо отправить, тоже надо "вначале права рута получить"? Буду также заинтересован узнать, что особенного дают "права рута" для данной конкретной задачи, с позволения сказать. Чушь выше этого никак не поясняет.
>Чушь выше этого никак не поясняет.В каком месте чушь?
Конечно, кому как, но мне давно хватает двух источников: официального репозитория и домашних страниц программ, если хочется посвежее или в офф. этого софта нет. Впрочем, в винде можно делать то же самое - смотреть на сайтах вроде вышеуказанных, а брать - с домашних страниц. Вот только крэки-то все равно черт знает откуда тянуть придется.Кстати, если уж проводить параллели - эти сайты - аналог фрешмита, а никак не юма/аптитюда (кто там апт-гет тащит до сих пор?) - ибо ни сравнивать версии, ни пакетно обновлять, ни прочие функции выполнять они ну никак не могут...
>никак не юма/аптитюда (кто там апт-гет тащит до сих пор?) -JFYI: если есть и работает libapt, то apt-get или aptitude поверх -- это уже гораздо меньше разницы. Хоть авторы и напихали в них достаточно кода, которому место в библиотеке.
PS: втолковывать виндузятникам, что такое нормальная работа с пакетным софтом -- кажется, безнадёжно :-(
>ну и что эта уязвимость дает? ну потру я свои файлы (ярлычки на столе :)А я почту на сервере не читаю. А на рабочей станции все в ~, а там ой-ой документов всяких. А как-то раз в процессе эксперимента вообще свалил убунту, так день с лайв-сиди проработал, только винт примонтировал и все. Такчто живость ОС - не показатель, сохранность пользовательской информации наше все. Жаль, что линукс в этом плане стремится к винде.
> Жаль, что линукс в этом плане стремится
>к винде.Вроде как речь об evolution, а не о linux
Q26: а вот в линухе провалилась эпопея с XXX и её из главветки убрали...
A26: я с самого начала считал её неудачным схемным реЩением!
да и не юзал никогда. мамой клянусь!!
Какая-то странная реакция у публики. Невнятные сравнения с внидой. Любезные друзя, не забывайте, что в винде фикс очередной дыры убивающий всю систему воспринимается как мана небесная.
параноидальному модератору
(за тобой что, ВВ следит или двуглавый орел????)
-----------------------------
Где мессаги с №№ 10,11б 15 ???
там что, были затронуты "проприетарные" темы для этого форума???
или присутствовала ненормативная лексика?
Я всегда подписываюсь под своими месагами и мыло всегда укказано, если есть вопросы -
пиши на мыло, а то покусали нах... все обсуждение, в конце концов нифига не понятно кто о чем.
>параноидальному модератору
>(за тобой что, ВВ следит или двуглавый орел????)
>-----------------------------
>Где мессаги с №№ 10,11б 15 ???Предположительно там же, где и прочий шум, которому нечего делать в архиве...
не знаю, кого Вы назвали "параноидальным", я убирал одно. :)Возможно, дело не в наличии "вопросов на мыло", а в отсутствии смысла?
>>параноидальному модератору
>>(за тобой что, ВВ следит или двуглавый орел????)
>>-----------------------------
>>Где мессаги с №№ 10,11б 15 ???
>
>Предположительно там же, где и прочий шум, которому нечего делать в архиве...
>
>не знаю, кого Вы назвали "параноидальным", я убирал одно. :)в этой ветке - одно, а востальных осуждениях кто убирает ?
>
>Возможно, дело не в наличии "вопросов на мыло", а в отсутствии смысла?
>а в сообщении #1 много смысла ??
но его то ты не убрал.
>Разделов софта нет.Это у нас, что: http://samlab.ws/category/ ? :D
>Пакетов нет (все файлы разные и требуют установки по разному).
У всех стандартные, виндовые, инсталяторы, различающиеся, разве что, внешним "шкурками". :D . Самое большее из архива вытащить. :D
По поводу же пакетов, если ПО тяжелое, то внутри инсталятора, при установки, частенько можно выбрать отелбные пакеты.
>ибо ни сравнивать версии, ни пакетно обновлять, ни прочие функции выполнять они ну никак не могут
http://samlab.ws/soft/thunderbird/
Версии ПО указаны явно, причем, порой, по несколько версий. Обновление элементарно: скачиваешь и ставишь новую версию. Либо, обновляешся через саму программу, коли она это позволяет (как Громоптиц).
Сам "репозиторий" тебе, конечно, ничего не обновит, не спорю, но во всем остальном никакой разницы, акромя специфики (типа "куча непонятной рекламы" :) ).
>Вот только крэки-то все равно черт знает откуда тянуть придется.
Зачем они тебе? Тот-же Гимп, Огнелис, Опен Офис, есть и под Виндой. Плюс куча бесплатных (в том числе открытых), и довольно мощных утилит на все случае жизни.
Плюс, "репозитории" с кряками тоже есть. Ссылки приводить не буду, благо многие из них широко известны.
>Да ну нафиг, я лучще в синаптике галочки порасставляю.
Гораздо проще, чем типа: I agree, next, next, finish
Что проще?
Инсталятор групирует все пакеты относящиеся к одной программе в один (в Убунте есть Установка/удаление, но она не позволяет выбирать отдельные пакеты).
Тебе не нужно, ничего искать, экономия времени огромная. А все нормальные, виндовые, инсталяторы (инсталятор Винды к ним не относится) позволяют выбирать пакеты в "тяжелом" ПО.
В синаптике-же, в ясте, и т. д. нужно, порой, поискать пакеты относящиеся к нужной тебе программе, и это, далеко, не всегда, однозначное действие, более того, не редко, не все пакеты, тянуться по зависимостям (поставь в последней Убунте Виртуал Бокс, он поставит тебе только саму "Коробку", модуль ядра не поставит, и даже если его выбрать, все равно "Коробка" работать не будет: что ей требуется еще, я так и не понял, плюнул, и поставил с офф сайта).
Кстати говоря, в синаптике, как раз, фигня типа "next-next" (в том, или ином виде), частенько вылазит (поставь exult, или Миф ТВ), и убедишся сам. :D
I agree, кстати говоря, также частенько всплывает.
Посему не надо, про наглядность, пожалуйста.
>Я вот этот абзац не сильно понял. Что за закомментированый полный список, по умолчанию не видный?
Апт-Гет, к примеру, /etc/apt/sources.list. Дальше объяснять, про закоментированные репозитории?
Посему про жопу, все-таки не надо. Винда-виндой, ее глюки глюками, но с ПО жопы нет никакой.
>Инсталятор групирует все пакеты относящиеся к одной программе в одинВиндовый инсталятор.
Похоже многие не понимают разницы между инсталляторами в Windows и системой пакетов в линукс дистрибутивах, поэтому постараюсь пояснить поскольку сам делал инсталляции.Windows:
- инсталлируемые файлы в зависимости от инсталлятора находятся в различных форматах;
- инталляторы _сами_ копируют новые файлы и могут _без_предупреждения_ менять чужие библиотеки, поскольку часто не проверяют версии;
- инсталлированные файлы могут оказаться совсем не там где вы ожидаете, поскольку каждая программа инсталляции это самостоятельный продукт, зачастую не сильно волнующий Microsoft, он может вообще отказаться запускаться в новой версии Windows.Linux (у меня Debian):
- инсталлируемые файлы находятся в архиве с известной структурой, содержащей описание зависимостей от используемых библиотек, перечень какие файлы куда должны быть скопированы и если необходимо скрипты - такой архив называют пакетом;
- пакеты можно легко просматривать как обычные архивы и вынимать нужные файлы;
- открытый формат позволят легче контролировать на отсутствие ошибок и троянов;
- инсталляция обычно производится единой для всех пакетов программой, анализирующей базу данных установленных пакетов и предупреждающей пользователя о выявленных несовместимостях программного обеспечения;
- можно легко настроить автоматическое обновление _любого_ пакета или всей операционной системы с пользовательскими программами, а не изобретать программистам каждого программного продукта свой велосипед для обновления;
- установка комплекса программ легко записывается в скрипт на вашем любимом языке;
- наличие базы данных пакетов позволяет искать нужные программы по описанию, делать поиск в неофициальных базах, проверять контрольную сумму каждого файла, узнавать откуда у меня такой-то файл.Возможно есть ещё плюсы пакетов перед использованием инсталляций.
> Касперский там собирался антивирус для никсов выпускать?незнаю про каспера.
а вот докторвеб давненько десктопный антивирь на сайте разместил.
надо тока ключик прикупить, или от уже прикупленной виндовой версии ключик дать можно.
>- инсталлируемые файлы в зависимости от инсталлятора находятся в различных форматах;TXT, DOC, EXE?
Или архивы, в которых они расположены разные (CAB, не CAB)?
Если первое, то утверждение идиотское, если второе, то не ты, пакеты раскидываешь, а инсталятор, и тебя это волновать не должно.
>инталляторы _сами_ копируют новые файлы и могут _без_предупреждения_ менять чужие библиотеки, поскольку часто не проверяют версии;
"Библиотека такая-та в системе имеет более новую версию чем устонавливаемая, вы хотите ее заменить"? :D
>инсталлированные файлы могут оказаться совсем не там где вы ожидаете
Куда указал туда и установит (Винда не линукс-юникс, в /bin, /usr/bin не ставит :) ). Если сопутствующие компоненты не ставятся в директорию программы, то они ставятся в системные папки (типа System32)
>поскольку каждая программа инсталляции это самостоятельный продукт, зачастую не сильно волнующий Microsof
В Винде, как минимум с 98, нет "разных инсталяторов"! Есть один внутрисистемный, и "шкурки" под него, ошибочно воспринимаемые как "разные программы".
Вот работа с rpm и deb разная (и не надо указывать, что апт для rpm приспособить можно, апт это только оболочка (удобная, не спорю) которую можно происпособить к работе с любым пакетом)
>он может вообще отказаться запускаться в новой версии Windows.
Я не гарантирую работу сильно устаревшего пакета от Линукса, даже если он установится. Более того, никто не гарантируют, что пакеты, созданные под прошлую прошлой версии, скажем, Федоры, установятся, коректно, в новой (всегда, предпочтительно ставить родные пакеты). :D
>пакеты можно легко просматривать как обычные архивы и вынимать нужные файлы;
Про утилиты работы с инсталяторами слышал?
>и предупреждающей пользователя о выявленных несовместимостях программного обеспечения
Далеко не всегда. :)
>установка комплекса программ легко записывается в скрипт на вашем любимом языке;
Этого добра (по автоматизации инсталяций) столько под винду...
И т. д., и т. п. Не знаешь, не говори.
> много буквпока вы спорили уже даже моя федора обновила evolution, закрыв эту дырку
p.s.: слабо такую оперативность от М* получить? :-)
>p.s.: слабо такую оперативность от М* получить? :-)А мы про нее и не говорили. :) А говорили про якобы "жопу с ПО", в Винде. Глюки Винды, глюками, оперативность, оперативностью. Но "Жопы с ПО", вопреки широкому мнению, нет.
И кстати говоря, слишком оперативным быть тоже плохо ("поспешишь, людей насмешишь").
А то будет как недавнее "обновление" Опен Офиса в Убунте (половина пакетов была сломана). :)
бывает и хуже.
ждут-ждут очередной Service Pack и дожидаются и ..
экран смерти.
>бывает и хуже.
>ждут-ждут очередной Service Pack и дожидаются и ..
>экран смерти.И вот тут откатиться не так легко как в том же линуксе :)
Кстати тут выше сказали про поломанные зависимости в убунте, когда эт было, а то каждый день обновляюсь и не заметил, все работает.
>Кстати тут выше сказали про поломанные зависимости в убунте, когда эт было, а то каждый >день обновляюсь и не заметил, все работает.1 июня, коли память не отбило. Потом я, и еще кто-то на лаунчпаде ("еще кто-то" был раньше, я продублировал :( ) про баг постили. Сейчас исправили, но то, что они "выпустили слишком оперативно", это факт.
>А мы про нее и не говорили. :) А говорили про якобы
>"жопу с ПО", в Винде. Глюки Винды, глюками, оперативность, оперативностью. Но
>"Жопы с ПО", вопреки широкому мнению, нет.
>
>И кстати говоря, слишком оперативным быть тоже плохо ("поспешишь, людей насмешишь").
>
>А то будет как недавнее "обновление" Опен Офиса в Убунте (половина пакетов
>была сломана). :)А разве руками обновлять все то ПО в винде - не жопа? Согласен что совсем уж "жопы" как таковой нету (не помню чтоб я уж так сильно мучался в годы когда на венде сидел), но после перехода на линух теперь я на такое не соглашусь.
А насчет спешки - это есть такое. Но в федоре 9й был совершен переход с yum'а на packageKit (также заменен pirut). Все кричали "убожество", а сейчас допиливают потихоньку и понимаешь прелести. Одна из них, к примеру, в том, что с обновлениями такими не спешат, зато если есть дыры типа как с эволюшн - появляется сообщение красненькое "найдены критические обновления" (или вроде того) "рекомендуем обновить систему". Вот.