В X.Org Server выявлены четыре уязвимости, позволяющие поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH. Проблемы обещают устранить в выпуске xorg-server 21.1.2, который ожидается в ближайшие дни. В дистрибутивах проблемы пока остаются неисправленными (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch)...Подробнее: https://www.opennet.me/opennews/art.shtml?num=56344
А в вэйданд что-нибудь уже находили?
Для этого им нужно пользоваться для начала.
Пользуюсь уже 2 год, отлично работает Sway, очень довольный
Да ну ваш Sway скучный он. Пользую классический Gnome и вполне доволен.
Пробовал Enlightment, но это конечно печаль тоска.
пользуюсь i3, на Wayland-аналог нет желания переходить никакого
нет и не найдут. wayland - это протокол для работы wm с программами без посредника типо иксов.
Потому дыры могут быть только в wm
чисто теоретически дыры в протоколах тоже бывают, так что я бы не зарекался ))
И не только теоретически...
Дорогая, ты не поверишь! X Window System core protocol это тоже протокол.
Без посредников вроде wlroots.
Так сабж же не про протокол, а про реализацию
> Дорогая, ты не поверишь! X Window System core protocol это тоже протокол.Так речь не о X Window System core protocol, а о X.org server
> Без посредников вроде wlroots.
Это вообще либа используемая некоторыми WM, причем тут она?
>А в вэйданд что-нибудь уже находили?У композитора "карманы пустые", от только отрисовывает границы окон.
Уже пару дней как на вэйланд перекатился. Плазма 5.23.4. Шероховатости есть, но уже юзабельно. Закапывайте иксы.
> Уже пару дней как на ...Вяленому 15 лет ужо, он родился мёртвым
---
В трее весят Телега, RocketChat, Thunderbird и QMMP
Запущены два Qemu и гугл хром (~30 вкладок)Xfce + Xorg - load average: 0.51 0.48 0.41,
с Вяленым и Говномом эти цифры переваливают за 11.0 -15.0
Нахер мне такой оверхед на десктопе? Мировой эфир обогревать?
15 лет - это еще только самое начало молодости.
> 15 лет - это еще только самое начало молодости.Пока, эти 15 лет, Вяленого тюнинговали под OpenGL, народ тихо переполз под Vulcan.
Теперь ещё 15 лет тюнинга? ))DMA-BUF в ядре уже лет 10, шикарная фича, сцк никак не допилят.
Вот они решили, что нужно всё грузить в GPU, даже картинки 10x10 px и пашлиВсенафиг.
>vulcanЧто еще за Вулцан?
> Пока, эти 15 лет, Вяленого тюнинговали под OpenGL, народ тихо переполз под Vulcan.Вяленый - протокол для общения клиента с композитором. Для его работы нужен умеющий в него клиент и композитор. Клиенты - весь графический софт. "Юзабельность" вяленого зависит от его поддержки софтом, wm, дровами (я про нвидию) и т.д.
Пока с этим так себе.> Теперь ещё 15 лет тюнинга? ))
Это не расширение для opengl чтоб полностью его перепиливать
Комп хоть включал?
Может у тебя и скрин есть?
> Xfce
> ГовномомУверен что виноват вяленый? посмотри с одинаковым DE и набором ПО
>> Xfce
>> Говномом
> Уверен что виноват вяленый? посмотри с одинаковым DE и набором ПОА нахуа нужен Вяленый с twm ? )))
|Вяленому 15 лет ужо, он родился мёртвымЧего тогда за 15 лет не допилил хорг умник?
Так хренорг идеален, чего его пилить?
Чукча даже заголовок новости не прочитал?
> Так хренорг идеален, чего его пилить?Открой меню и сделай скриншот. Переключи раскладку. Прибавь громкость.
Идеальный хрен такой идеальный.
Что скажешь, если через 3 года процент систем с Wayland будет 87, Xorg — 7?Справочно:
сейчас 16/77.
Кому нужно на удаленном компе работать, тот не вайланд не перейдет.
Давно пора.
Уже пару лет как перекатился на Wayland. GNOME 41.2. Безупречно. Иксы закопаны, и даже начали смердеть.
А что, вайланд уже умеет сессию открывать на удаленном хосте или хотя бы приложение там запустить?
> А что, вайланд уже умеет сессию открывать на удаленном хосте или хотя
> бы приложение там запустить?Ты свои частные юз-кейсы проецируешь на всех остальных. Если очень надо, то есть vnc. В современных графических тулкитах иксы и так работают как vnc. Картинка полностью рендерится на клиенте и потом пересылается иксам, которые её только рисуют.
>> А что, вайланд уже умеет сессию открывать на удаленном хосте или хотя
>> бы приложение там запустить?
> Ты свои частные юз-кейсы проецируешь на всех остальных. Если очень надо, то
> есть vnc. В современных графических тулкитах иксы и так работают как
> vnc. Картинка полностью рендерится на клиенте и потом пересылается иксам, которые
> её только рисуют.И как я через этот ваш vnc открою сессию на удаленной машине, которая только 22 порт открытым держит?
> В дистрибутивах проблемы пока остаются неисправленными (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch)А в Gentoo ждём ебилдов.
проблема не проявляется, т.к. X не стартует от root.
> если X-сервер выполняется с правами rootНе актуально. Может в каком-нибудь наколенном протухшем дистре типа слаквари только если.
Для NVIDIA актуально, на любом дистре.
Когда уже закопают этого тормозного дырявого монстра
Как только появится адекватная альтернатива.
Действительно когда уже тебя закопают. Вот какой смысл в твоих постоянных комментах про раст. Чего ты собираешься этим добиться?
Ну, как всегда, в RHEL чтобы просто посмотреть нужно быть регистрантом, а у Fedora вообще ничего непонятно, ссылка на общую кучу.
Офегенно, просто посыпались как из рога изобилия.
XOrg, роутеры TP-Link, Mikrotik, Chrome 96 и везде один и тот же булщит.
> везде один и тот же булщит.Какие программисты - такой и булщит.
Как же так! Опенсорс, сто лет проекту и тд и тп. Что же комьюнити не поправила то?
Новость перечитай они-то как раз всё поправили. В твоей дырковенде так дыры и остались.
+15 плюсов за проход в винду
> Что же комьюнити не поправила то?А кто поправил? Пушкин?
тысячеглас смотрят
Недели уязвимостей в Макдональдс.
Десять возможностей получить рута сидя под рутом ? даже патчить такое взападло.
Не понял, это если я запускаю иксы по startx, то это от рут или как?
> если я запускаю иксы по startx, то это от рут или как?Это — инициализация пользовательской сессии к (если не был запущен — запускается) запущенному X-серверу.
Благодарю, ступил немного, это тоже самое, если выставить "не спрашивать пароль" в сессии lightdm etc.
От кого спасёт этот пароль, от бабушки?
$ ps -aux | grep lightdmroot ... /usr/sbin/lightdm
lightdm кстати запускает то, что ему пропихнут (файлики .desktop в /usr/share/xsessions) от имени юзера, в которого залогинились. Исключением, по крайней мере у меня под манжарой, был i3. Что забавно, учитывая то, что его конфиги лежат в .config юзера, могут автолаунчить программы и доступны на чтение-запись любому софту, запускаемому из под этого юзера.
Скорее всего, но не обязательно. Можно посмотреть ps -o user,group -p`pidof X` для начала.
> https://www.opennet.me/opennews/art.shtml?num=56342посмотри права доступа ls -lah /usr/bin/Xorg. Скорее всего там будет выставлен suid бит - значит от рута запускаешь. Проверить можно через cat /proc/pid/status, там указан стартовый и эффективный uid.
Запуск иксов от рута - это классика, ибо иксам нужны повышенные привелегии для работы с графикой. От просто suid современные дистрибутивы ушли всячески извращаясь посредством systemd. Там, где стоит классика, иксы запускаются от рута.
> Там, где стоит классика, иксы запускаются от рута.на devuan - нет. суидный враппер /usr/lib/xorg/Xorg.wrap есть,
но он не запускается. у процесса все ровно:$ ps -o ruid,rgid,euid,egid,uid,gid -p`pidof Xorg`
RUID RGID EUID EGID UID GID
1000 1000 1000 1000 1000 1000
> суидный враппер /usr/lib/xorg/Xorg.wrap есть,
> но он не запускаетсялибо сбрасывает привилегии после запуска.
Прежде чем запустить иксы командой startx, нужно кагбе залогиниться. А уж от рута ты залогинился или от себя - тебе виднее.
Ну первый раз пароль запрашивает, при рестарте уже не просит.
если иксы с суидом - да, если иксы с системдой - нет
Блин, и здесь два стула, на одном из которых ножи точены, а про другой вы и сами знаете.
Глянь как в войде собрано.
Что там по нашим супер пупер защищенным ОС одобренных в ФСТЭК типа AltLinux, AstraLinux ну и ПОКА ХРОМ 12 ОС? Также дырявые Firefox, Chromium и иксы?
Ой, если ты не понимаешь ЧТО гарантирует подобная сертификация, то зачем пишешь?
В Убунту уже прилетело. Наш славный город Козлиск успешно обновился!
аналогично - только почему обновление не было отмеченно критически важным?
Локальные уязвимости не считаются критическими.
по тому что иксы не от рута запускаются
На FDO GitLab Slashdot effect, 504.
только что, почему-то прилетело обновление к X.Org Server без отметки как критическое... мутят?
Ubuntu
т.е. поняли, что вяленый не взлетит и решили xorg починить :)
похвально
С языка снял :))
Поняли - это кто?
Патчи от текущего мейнтейнера Xorg (https://gitlab.freedesktop.org/xorg/xserver/-/commits/master). Четыре патча, из них три однострочника. Один в 9 строк с банальной проверкой "out of bounds", вида
if (buffer + <число байт глифов> > end) {
return BadLength;
}
А что там с Wayland?Уже готов или "надо только подождать"?
Готов. Как в анекдоте про парашютистов. Пора отскребать останки от взлетки и закапывать.
А где же растофаны? Перепишите же скорее иксы на расте! Греп же переписали, перепишите и иксы.Или слабо?
Или "ненужно" и "вяленый рулит"?
А разве grep уже deprecated? Нет, поэтому можно переписать.
А иксы уже в мусорке истории, смысл в них вкладывать силы и время.
> А иксы уже в мусорке истории, смысл в них вкладывать силы и время.Ага, те есть таки "ненужно" и "вяленый рулит"
> Ага, те есть таки "ненужно" и "вяленый рулит"Ага, "при раскопках пирамид не обнаружили медных проводов, значит древние египтяне пользовались беспроволчным телеграфом!" (с)
Греп не переписали. То что так самоуверенно назвали РипГреп - хелловорлд, и до грепа с сменными движками регекспов далеко как до пекина.
Преимущество линукс перед виндой - это юниксовый шелл. Графика же в линукс всегда была самой отсталой и убогой. Даже хайку в этом плане выглядит гораздо интересней.
Не скажи!.. Слегка подашаманенный GNOME весьма и весьма.
Wayland стал уже гораздо лучше, чем пару лет назад, но есть некоторые проблемы: игрушки запущенные в Wine ведут себя неправильно, приложения из Flatpak нуждающиеся в трее (который в Gnome за счет расширений) не попадают туда.
> приложения из Flatpak нуждающиеся в трее (который в Gnome за счет расширений) не попадают тудаНа это могу сказать, что проблема тут не в Wayland. Чтобы отобразить иконку, необходио выставить интерфейс на сессионной шине d-bus. FlatPak это запрещает. Можно это, конечно, обойти, но во-первых это не по стандарту, во-вторых libappindicator, насколько я в курсе так не умеет (и уже немного подтухла), но есть альтернативные реализации SNI протокола.
Вот тут ( https://github.com/jjk-jacky/statusnotifier/issues/18 ), например, это обошли костылём.
ЗЫ. libdbusmenu, кстати, тоже изрядно подтухла и по-хорошему её бы надо конечно кому-нибудь подновить под GTK4 (кода там, конкретно GTK, не так, чтобы много) и подчистить от deprecated.
> проблемы: игрушки запущенные в Wine ведут себя неправильноМожно подробностей. Мне интересно, потому что сейчас наскоками поигрываю в древнюю Diablo II LoD на Ubuntu 20.10 GNOME Wayland. Вроде работает. За исключением того, что на весь экран не развернёшь (максимум 800x600), ну так это и в виндах лечится кривейшими костылями.
играю из wine в SpellForce, прикольная игрушка, рекомендую, в вайладн не правильная фокусировка мыши, то есть иконка курсора мыши и ее реальное положение расходятся на 15-20 мм. но у меня и ДЕ нет, wayland/sway, xorg/stumpwm. хотя герои работают нормально.
Разрешения экрана и игры различаются?
да, игра старая. но, в героях тоже как бы отличается, но там все нормально
Забыл уточнить) герои у меня портированные под линукс, человек озаботился, там скрипт для запуска и все такое, а spellforce просто установленная, еще и без смонтированного диска не работает.
WinE всё еще работает через XWayland, т.е. через X server, и Wayland оказывается лишней прослойкой. Я этот вопрос не копал, но похоже, что в каких-то случаях пересчёт координат не выполняется, т.е. картинку масштабирует на весь экран, а мышка работает только на части экрана (левой верхней?), как если бы картинка была не растянута.
Debian 11 (Gnome 3.38) (Wine 6.23) - Gothic 2 под Wayland камера поворачивается откуда-то снизу и не развернуть. Под Xorg всё отлично.
CVE-2021-4008 - переполнение буфера ...
CVE-2021-4009 - переполнение буфера ...
CVE-2021-4010 - переполнение буфера ...
CVE-2021-4011 - переполнение буфера ...а вот этого могло бы и не быть если ...
не копались ыб в коде и не находили там чего находить ненадо...
... бы Rust придумали на 13 лет раньше.