В библиотеке Pango (http://www.pango.org/), как правило используемой совместно с GTK+ для формирования вывода текста, найдена критическая уязвимость (http://www.ocert.org/advisories/ocert-2009-001.html), позволяющая злоумышленнику выполнить свой код в системе при попытке рендеринга текста со специально скомпонованным набором глифов. Проблема вызвана целочисленным переполнением при расчете размера памяти, выделяемой для хранения глифов. Ошибка устранена в версии Pango 1.24 (http://www.pango.org/Download), выпущенной 16 марта (некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии).
Уязвиомость усугубляется тем, что ее можно применить для широкого круга использующих Pango приложений, например, подтверждена возможность удаленной атаки на Firefox, приводящей к отказу в обслуживании при посещении определенным образом оформленной страницы.
Посмотреть список связанные с библиотекой Pango программ в Ubuntu Linux можно командой "ap...URL: http://secunia.com/advisories/35021/
Новость: http://www.opennet.me/opennews/art.shtml?num=21690
>некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версииДумаю, это начало конца.
Подобное же: http://seclists.org/fulldisclosure/2009/Apr/0080.html
Linux 2009 == Microsoft 2002
>>некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии
>
>Думаю, это начало конца.
>Подобное же: http://seclists.org/fulldisclosure/2009/Apr/0080.html
>Linux 2009 == Microsoft 2002Linux не Linux, но отвратительная тенденция налицо :(
А ты неюзай вражеские FS, проснулся... 2.6.29.3 уж на дворе :
смысл не в патчинге (что само по себе хорошо - некоторые даже не патчат годами), а в том, чтобы рассказать сообществу, что данная ошибка опасна.
Любая ошибка опасная. Была такая давно, перепутали местами ассемблерные инструкции CLI и STI
Не помню точно что было, то ли два раза разрешили прерывания, то ли два раза запретили...
Вроде отметили как НЕ влияющая на безопасность, но вполне приводящая к зависону.Так вот, время на объяснение как всё это работает ни у кого нет,
время на генерацию руткитов - тоже. Вариантов руткитов можно придумать массу, относительно
cli/sti-bug, например в спаять вражеское PCI устройство, и выполнять свои действия в не защищенной памяти ядра.И что по-вашему, они обязаны все это рассказывать, как работает, как можно хакнуть...
Обнаружили-пофиксили-отписалисьТоже была одна бага, по моему на 2.6.20, после разархивирования ядра, каталоги и файлы в них были с правами 660 - как говориться, залезай, исправляй, бэкдоры засажывай...
Кто должен следить за правами на Вашем компе??? Торвальдс чтоля?
Ему ваще пофиг - сделал бы 777 и делайте сами как надо.
> Обнаружили-пофиксили-отписалисьНе отписались.
> Так вот, время на объяснение как всё это работает ни у кого нет,
никто не просил обьяснений как это всё работает.
> время на генерацию руткитов - тоже.
Всегда есть время у тех кому это надо.
Весь остальной твой текст - оффтопик эмоций.
>А ты неюзай вражеские FS, проснулся... 2.6.29.3 уж на дворе :А как FS и какие-то там ядра вообще относятся к панге?Панга - кроссплатформенная либа, которая есть в куче всяких мест и без всяких линуксовых ядер.
>Думаю, это начало конца.Это что, просьба проспонсировать веревку и мыло? oO
> Linux 2009 == Microsoft 2002
А при чем тут линукс? Эта либа используется в огромной куче систем. В *вашей* скорее всего она тоже есть. Хотя если вы только в консольке сидите - тогда может и нет за ненадобностью. А так - используется кучей программ в разных системах. К линуксу эта либа привязана не более чем например zlib.
//некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версииспасибо, это нам уже знакомо
>спасибо, это нам уже знакомоНу вы можете поставить себе например антикварный zlib а мы вас сплойтом жахнем.Не хотите?И кстати куда предлагаете бежать?Обратно на проприетарщину?Или сидеть в MS-DOS?А то это панго используется такой кучей программ что найти систему с гуем где оно бы не использовалось - еще постараться надо.
> А то это панго используется такой кучей программНе так уж и много таких программ.
>Не так уж и много таких программ.Хаксорам в принципе хватит одной.Уже забыли что было с zlib?Я знаю немало случаев взлома [чего угодно] на разных системах через дырявый zlib.Особенно "здорово" было ессно виндузятникам где все проги таскают с собой zlib'у самолично а потому никто ее в половине софта ессно не заапдейтил, так что наверное и по сей день в виндах можно кучу софта с древней злибой сплойтом отоварить если задаться целью.
>//некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения
>исправленной версии
>
>спасибо, это нам уже знакомоНе путайте с ситуацией, когда о дыре уже давно раструбили в неофициальных рассылках безопасности, но разработчики дырявой программы ее скрывают или представляют как незначительную, или когда нашедший дыру натыкается на высокомерие и игнорирование со стороны разработчиков. В случае с Pango о проблеме не знал никто посторонний, только тот кто нашел дыру и разработчики библиотеки.
> В случае с Pango о проблеме не знал никто
>посторонний, только тот кто нашел дыру и разработчики библиотеки.свечку держали?)
>> В случае с Pango о проблеме не знал никто
>>посторонний, только тот кто нашел дыру и разработчики библиотеки.
>
>свечку держали?)Вы не верите слову Will Drewry из Google Security Team ?
Я словам не верю. Только фактам.
Я вот такой наивный, но кто мне может объяснить, почему нельзя говорить об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец в области безопасности, ты эту уязвимость найдёшь, в противном случаи - ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления. Не дело конечно, объявлять почти через месяц после обнаружения (а тут даже после исправления) об уязвимости, но и не дело выдавать почти всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для хранения глифов).
С месяцем конечно же ошибся, не так новость прочитал, но сути это не меняет
>[оверквотинг удален]
>об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена
>уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё
>равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец
>в области безопасности, ты эту уязвимость найдёшь, в противном случаи -
>ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя
>не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления.
>Не дело конечно, объявлять почти через месяц после обнаружения (а тут
>даже после исправления) об уязвимости, но и не дело выдавать почти
>всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для
>хранения глифов).Видимо не говорили, так, как постоянно встречались непонятные ситуации с разными программами под GTK и одного намека было бы достаточно, где копать. Я только сейчас и понял, почему у меня разработки под GTK глючили. Под QT работает, под GTK-2 сбоит, пока не перешел на Mandriva 2009.1, а в ней Pango 1.24.1. Все нормально. Я считаю, что верно поступили, мгло бы быть очень плохо.
>[оверквотинг удален]
>об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена
>уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё
>равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец
>в области безопасности, ты эту уязвимость найдёшь, в противном случаи -
>ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя
>не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления.
>Не дело конечно, объявлять почти через месяц после обнаружения (а тут
>даже после исправления) об уязвимости, но и не дело выдавать почти
>всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для
>хранения глифов).Нет смысла просто. В мире opensource практически невозможно скрыть информацию о месте и виде исправления - эта информация буквально в открытом виде лежит внутри патча (если патча нет то можно проанализировать diff старой и новой версии). Даже бинарные заплатки Microsoft-а умудряются анализировать и реализовали метод автоматической! генерации експлойтов для исправляемых уязвимостей.
>Нет смысла просто.и
>внутри патча (если патча нет то можно проанализировать diff старой и новой версииВзаимоисключающие параграфы. Когда есть дифф - есть обновлённая версия, где этой уязвимости уже нет, кто не обновился, то сам себе злобная длинноносая деревянная кукла.
Это вообщето нормальная практика для уязвимостей (гуглим на тему oss-security embargo date).
>Это вообщето нормальная практика для уязвимостей (гуглим на тему oss-security embargo date).Это достаточно нормальная практика для критичных уязвимостей в кроссплатформенной либе которая настолько широко используется что есть в весьма многих системах(много кроссплатформенного софта под разными ОС юзает эту либу т.к. она умеет дофига всего).Было бы лучше если бы школьники начали глушить 0-day сплойтами все вокруг?Хуже от того что уязвимость придержали разве что таким вот школьникам - найти дыру и сплойт сделать им самим слабо.Вот наверное и бухтят - халявы для них не вышло, видите ли.Хотя сам факт что есть дыра без указания деталей можно было бы и сообщить вообще-то.
#emerge --sync;emerge -pv pango
These are the packages that would be merged, in order:Calculating dependencies... done!
[ebuild R ] x11-libs/pango-1.22.4 USE="X -debug -doc" 0 kBБесполезно - пока гром не грянет никто креститься не будет! :)
в стабильной ветке дырявая панга :)
По этому сообщения об отверстиях, имхо, надо выкладывать сразу после появления
фиксеной версии и никого более не ждать.
Чё-то portage как всегда тормозит с секьюрными обновлениями.
в Федоре 10 баг до сих пор не исправлен, старый Pango стоит
Debian уже пару дней как выпустил патч
Хе, чуть что не так, так сразу "а причём здесь Linux" и глазки такие красненькие смотрят как на новые ворота :)
pango-1.24.1 (04 May 2009)
Нет, в portage, ebuild с фиксеной версией появился еще 4 мая, только
что то тянут с переводом в стабильную ветку.ЗЫ а по поводу красных глаз, на зеркало обижайтесь :)
>что то тянут с переводом в стабильную ветку.А банальные убунтуйцы опять все вовремя заапдейтили и юзерам раздали...
http://www.driverskit.com/dll/libpango-1.0-0.dll/1705.html
>Хе, чуть что не так, так сразу "а причём здесь Linux"А линуксы сами по себе никак не относятся к сторонним библиотекам.А хотя-бы и популярным настолько чтобы нередко встречаться в оных.
И кстати виндузятникам как всегда хуже всех придется.В пингвине мне апдейтер заменит одну либу, качнув небольшой пакет только с этой либой и все.А вот в винде придется искать ВСЕ юзающие эту либу проги САМОЛИЧНО! И опять же САМОЛИЧНО их все апдейтить, надеясь что их авторы не дятлы и проапдейтили используемую либу в новых версиях программ...
В итоге - пингвины и прочие подобные с нормальными системами управления пакетами на голову впереди "прогрессивного" человечества типа виндузятников.Ну вон MS попытался содрать su+sudo в виде UAC.Получилось хреново, хоть и приподняло безопасность.Лет через 10 наверное попытаются и свои репы поднять.Как всегда - горбато и убого, с массой ограничений, неудобств и бестолковостей, разумеется.
Вообще говоря, можно сказать Лисе не использовать pango. Что собственно у меня и сделано, т.к. после этого Лиса по шустрее будет.
>Вообще говоря, можно сказать Лисе не использовать pangoЯ думаю что далеко не только лис оной пользуется.В зависимостях пакетов сия либа светится часто и много ;)