URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 54215
[ Назад ]

Исходное сообщение
"Критическая уязвимость в библиотеке Pango"

Отправлено opennews , 12-Май-09 00:47 
В библиотеке Pango (http://www.pango.org/), как правило используемой совместно с GTK+ для формирования вывода текста, найдена критическая уязвимость (http://www.ocert.org/advisories/ocert-2009-001.html), позволяющая злоумышленнику выполнить свой код в системе при попытке рендеринга текста со специально скомпонованным набором глифов. Проблема вызвана целочисленным переполнением при расчете размера памяти, выделяемой для хранения глифов. Ошибка устранена в версии Pango 1.24 (http://www.pango.org/Download), выпущенной 16 марта (некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии).


Уязвиомость усугубляется тем, что ее можно применить для широкого круга использующих Pango приложений, например, подтверждена возможность удаленной атаки на Firefox, приводящей к отказу в обслуживании при посещении определенным образом оформленной страницы.
Посмотреть список связанные с библиотекой Pango программ в Ubuntu Linux можно командой "ap...

URL: http://secunia.com/advisories/35021/
Новость: http://www.opennet.me/opennews/art.shtml?num=21690


Содержание

Сообщения в этом обсуждении
"Критическая уязвимость в библиотеке Pango"
Отправлено Анонима , 12-Май-09 00:47 
>некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии

Думаю, это начало конца.
Подобное же: http://seclists.org/fulldisclosure/2009/Apr/0080.html
Linux 2009 == Microsoft 2002


"Критическая уязвимость в библиотеке Pango"
Отправлено PereresusNeVlezaetBuggy , 12-Май-09 01:36 
>>некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии
>
>Думаю, это начало конца.
>Подобное же: http://seclists.org/fulldisclosure/2009/Apr/0080.html
>Linux 2009 == Microsoft 2002

Linux не Linux, но отвратительная тенденция налицо :(


"Критическая уязвимость в библиотеке Pango"
Отправлено pavlinux , 12-Май-09 01:48 
А ты неюзай вражеские FS, проснулся... 2.6.29.3 уж на дворе :

"Критическая уязвимость в библиотеке Pango"
Отправлено Анонима , 12-Май-09 02:12 
смысл не в патчинге (что само по себе хорошо - некоторые даже не патчат годами), а в том, чтобы рассказать сообществу, что данная ошибка опасна.

"Критическая уязвимость в библиотеке Pango"
Отправлено pavlinux , 12-Май-09 04:22 
Любая ошибка опасная. Была такая давно, перепутали местами ассемблерные инструкции CLI и STI
Не помню точно что было, то ли два раза разрешили прерывания, то ли два раза запретили...
Вроде отметили как НЕ влияющая на безопасность, но вполне приводящая к зависону.

Так вот, время на объяснение как всё это работает ни у кого нет,
время на генерацию руткитов - тоже. Вариантов руткитов можно придумать массу, относительно
cli/sti-bug, например в спаять вражеское PCI устройство, и выполнять свои действия в не защищенной памяти ядра.

И что по-вашему, они обязаны все это рассказывать, как работает, как можно хакнуть...
Обнаружили-пофиксили-отписались

Тоже была одна бага, по моему на 2.6.20, после разархивирования ядра, каталоги и файлы в них были с правами 660 - как говориться, залезай, исправляй, бэкдоры засажывай...

Кто должен следить за правами на Вашем компе??? Торвальдс чтоля?  
Ему ваще пофиг - сделал бы 777 и делайте сами как надо.


"Критическая уязвимость в библиотеке Pango"
Отправлено szh , 12-Май-09 10:03 
> Обнаружили-пофиксили-отписались

Не отписались.

> Так вот, время на объяснение как всё это работает ни у кого нет,

никто не просил обьяснений как это всё работает.

> время на генерацию руткитов - тоже.

Всегда есть время у тех кому это надо.

Весь остальной твой текст - оффтопик эмоций.


"Критическая уязвимость в библиотеке Pango"
Отправлено User294 , 12-Май-09 07:26 
>А ты неюзай вражеские FS, проснулся... 2.6.29.3 уж на дворе :

А как FS и какие-то там ядра вообще относятся к панге?Панга - кроссплатформенная либа, которая есть в куче всяких мест и без всяких линуксовых ядер.


"Критическая уязвимость в библиотеке Pango"
Отправлено User294 , 12-Май-09 07:21 
>Думаю, это начало конца.

Это что, просьба проспонсировать веревку и мыло? oO

> Linux 2009 == Microsoft 2002

А при чем тут линукс? Эта либа используется в огромной куче систем. В *вашей* скорее всего она тоже есть. Хотя если вы только в консольке сидите - тогда может и нет за ненадобностью. А так - используется кучей программ в разных системах. К линуксу эта либа привязана не более чем например zlib.


"Критическая уязвимость в библиотеке Pango"
Отправлено кдпзу , 12-Май-09 01:22 
//некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии

спасибо, это нам уже знакомо


"Критическая уязвимость в библиотеке Pango"
Отправлено User294 , 12-Май-09 07:29 
>спасибо, это нам уже знакомо

Ну вы можете поставить себе например антикварный zlib а мы вас сплойтом жахнем.Не хотите?И кстати куда предлагаете бежать?Обратно на проприетарщину?Или сидеть в MS-DOS?А то это панго используется такой кучей программ что найти систему с гуем где оно бы не использовалось - еще постараться надо.


"Критическая уязвимость в библиотеке Pango"
Отправлено Аноним , 12-Май-09 08:41 
> А то это панго используется такой кучей программ

Не так уж и много таких программ.


"Критическая уязвимость в библиотеке Pango"
Отправлено User294 , 12-Май-09 22:05 
>Не так уж и много таких программ.

Хаксорам в принципе хватит одной.Уже забыли что было с zlib?Я знаю немало случаев взлома [чего угодно] на разных системах через дырявый zlib.Особенно "здорово" было ессно виндузятникам где все проги таскают с собой zlib'у  самолично а потому никто ее в половине софта ессно не заапдейтил, так что наверное и по сей день в виндах можно кучу софта с древней злибой сплойтом отоварить если задаться целью.


"Критическая уязвимость в библиотеке Pango"
Отправлено uldus , 12-Май-09 08:56 
>//некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения
>исправленной версии
>
>спасибо, это нам уже знакомо

Не путайте с ситуацией, когда о дыре уже давно раструбили в неофициальных рассылках безопасности, но разработчики дырявой программы ее скрывают или представляют как незначительную, или когда нашедший дыру натыкается на высокомерие и игнорирование со стороны разработчиков. В случае с Pango о проблеме не знал никто посторонний, только тот кто нашел дыру и разработчики библиотеки.


"Критическая уязвимость в библиотеке Pango"
Отправлено AlexanderYT , 13-Май-09 13:38 
> В случае с Pango о проблеме не знал никто
>посторонний, только тот кто нашел дыру и разработчики библиотеки.

свечку держали?)


"Критическая уязвимость в библиотеке Pango"
Отправлено uldus , 13-Май-09 14:08 
>> В случае с Pango о проблеме не знал никто
>>посторонний, только тот кто нашел дыру и разработчики библиотеки.
>
>свечку держали?)

Вы не верите слову Will Drewry из Google Security Team ?


"Критическая уязвимость в библиотеке Pango"
Отправлено AlexanderYT , 14-Май-09 10:21 
Я словам не верю. Только фактам.

"Критическая уязвимость в библиотеке Pango"
Отправлено Аноним , 12-Май-09 02:36 
Я вот такой наивный, но кто мне может объяснить, почему нельзя говорить об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец в области безопасности, ты эту уязвимость найдёшь, в противном случаи - ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления. Не дело конечно, объявлять почти через месяц после обнаружения (а тут даже после исправления) об уязвимости, но и не дело выдавать почти всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для хранения глифов).

"Критическая уязвимость в библиотеке Pango"
Отправлено Аноним , 12-Май-09 02:41 
С месяцем конечно же ошибся, не так новость прочитал, но сути это не меняет

"Критическая уязвимость в библиотеке Pango"
Отправлено Logo , 12-Май-09 02:51 
>[оверквотинг удален]
>об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена
>уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё
>равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец
>в области безопасности, ты эту уязвимость найдёшь, в противном случаи -
>ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя
>не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления.
>Не дело конечно, объявлять почти через месяц после обнаружения (а тут
>даже после исправления) об уязвимости, но и не дело выдавать почти
>всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для
>хранения глифов).

Видимо не говорили, так, как постоянно встречались непонятные ситуации с разными программами под GTK и одного намека было бы достаточно, где копать. Я только сейчас и понял, почему у меня разработки под GTK глючили. Под QT работает, под GTK-2 сбоит, пока не перешел на Mandriva 2009.1, а в ней Pango 1.24.1. Все нормально. Я считаю, что верно поступили, мгло бы быть очень плохо.


"Критическая уязвимость в библиотеке Pango"
Отправлено zuborg , 12-Май-09 11:08 
>[оверквотинг удален]
>об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена
>уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё
>равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец
>в области безопасности, ты эту уязвимость найдёшь, в противном случаи -
>ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя
>не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления.
>Не дело конечно, объявлять почти через месяц после обнаружения (а тут
>даже после исправления) об уязвимости, но и не дело выдавать почти
>всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для
>хранения глифов).

Нет смысла просто. В мире opensource практически невозможно скрыть информацию о месте и виде исправления - эта информация буквально в открытом виде лежит внутри патча (если патча нет то можно проанализировать diff старой и новой версии). Даже бинарные заплатки Microsoft-а умудряются анализировать и реализовали метод автоматической! генерации експлойтов для исправляемых уязвимостей.


"Критическая уязвимость в библиотеке Pango"
Отправлено Аноним , 12-Май-09 15:09 
>Нет смысла просто.

и
>внутри патча (если патча нет то можно проанализировать diff старой и новой версии

Взаимоисключающие параграфы. Когда есть дифф - есть обновлённая версия, где этой уязвимости уже нет, кто не обновился, то сам себе злобная длинноносая деревянная кукла.



"Критическая уязвимость в библиотеке Pango"
Отправлено Eugeni , 12-Май-09 04:18 
Это вообщето нормальная практика для уязвимостей (гуглим на тему oss-security embargo date).

"Критическая уязвимость в библиотеке Pango"
Отправлено User294 , 12-Май-09 07:35 
>Это вообщето нормальная практика для уязвимостей (гуглим на тему oss-security embargo date).

Это достаточно нормальная практика для критичных уязвимостей в кроссплатформенной либе которая настолько широко используется что есть в весьма многих системах(много кроссплатформенного софта под разными ОС юзает эту либу т.к. она умеет дофига всего).Было бы лучше если бы школьники начали глушить 0-day сплойтами все вокруг?Хуже от того что уязвимость придержали разве что таким вот школьникам - найти дыру и сплойт сделать им самим слабо.Вот наверное и бухтят - халявы для них не вышло, видите ли.Хотя сам факт что есть дыра без указания деталей можно было бы и сообщить вообще-то.


"Критическая уязвимость в библиотеке Pango"
Отправлено Alen , 12-Май-09 10:28 
#emerge --sync;emerge -pv pango
These are the packages that would be merged, in order:

Calculating dependencies... done!
[ebuild   R   ] x11-libs/pango-1.22.4  USE="X -debug -doc" 0 kB

Бесполезно - пока гром не грянет никто креститься не будет! :)
в стабильной ветке дырявая панга :)
По этому сообщения об отверстиях, имхо, надо выкладывать сразу после появления
фиксеной версии и никого более не ждать.


"Критическая уязвимость в библиотеке Pango"
Отправлено Аноним , 12-Май-09 10:41 
Чё-то portage как всегда тормозит с секьюрными обновлениями.

"Критическая уязвимость в библиотеке Pango"
Отправлено charon , 12-Май-09 10:53 
в Федоре 10 баг до сих пор не исправлен, старый Pango стоит

"Критическая уязвимость в библиотеке Pango"
Отправлено NegatiV , 12-Май-09 11:44 
Debian уже пару дней как выпустил патч

"Критическая уязвимость в библиотеке Pango"
Отправлено Loafer , 12-Май-09 12:20 
Хе, чуть что не так, так сразу "а причём здесь Linux" и глазки такие красненькие смотрят как на новые ворота :)

"Критическая уязвимость в библиотеке Pango"
Отправлено Alen , 12-Май-09 13:06 
pango-1.24.1 (04 May 2009)
Нет, в portage, ebuild с фиксеной версией появился еще 4 мая, только
что то тянут с переводом в стабильную ветку.

ЗЫ а по поводу красных глаз, на зеркало обижайтесь :)


"Критическая уязвимость в библиотеке Pango"
Отправлено User294 , 13-Май-09 08:24 
>что то тянут с переводом в стабильную ветку.

А банальные убунтуйцы опять все вовремя заапдейтили и юзерам раздали...


"Критическая уязвимость в библиотеке Pango"
Отправлено www , 12-Май-09 18:13 
http://www.driverskit.com/dll/libpango-1.0-0.dll/1705.html

"Критическая уязвимость в библиотеке Pango"
Отправлено User294 , 12-Май-09 22:11 
>Хе, чуть что не так, так сразу "а причём здесь Linux"

А линуксы сами по себе никак не относятся к сторонним библиотекам.А хотя-бы и популярным настолько чтобы нередко встречаться в оных.

И кстати виндузятникам как всегда хуже всех придется.В пингвине мне апдейтер заменит одну либу, качнув небольшой пакет только с этой либой и все.А вот в винде придется искать ВСЕ юзающие эту либу проги САМОЛИЧНО! И опять же САМОЛИЧНО их все апдейтить, надеясь что их авторы не дятлы и проапдейтили используемую либу в новых версиях программ...

В итоге - пингвины и прочие подобные с нормальными системами управления пакетами на голову впереди "прогрессивного" человечества типа виндузятников.Ну вон MS попытался содрать su+sudo в виде UAC.Получилось хреново, хоть и приподняло безопасность.Лет через 10 наверное попытаются и свои репы поднять.Как всегда - горбато и убого, с массой ограничений, неудобств и бестолковостей, разумеется.


"Критическая уязвимость в библиотеке Pango"
Отправлено AlexanderYT , 13-Май-09 13:46 
Вообще говоря, можно сказать Лисе не использовать pango. Что собственно у меня и сделано, т.к. после этого Лиса по шустрее будет.

"Критическая уязвимость в библиотеке Pango"
Отправлено User294 , 15-Май-09 17:17 
>Вообще говоря, можно сказать Лисе не использовать pango

Я думаю что далеко не только лис оной пользуется.В зависимостях пакетов сия либа светится часто и много ;)