forum.opennet.ru - "Уязвимости в X.Org Server и CUPS" (29)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Уязвимости в X.Org Server и CUPS"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в X.Org Server и CUPS"	+/–
Сообщение от opennews (ok) on 11-Фев-15, 10:36
В корректирующих выпусках X.Org Server 1.17.1 (http://lists.x.org/archives/xorg-announce/2015-February/0025...) и 1.16.4 (http://lists.x.org/archives/xorg-announce/2015-February/0025...) устранена уязвимость (http://seclists.org/oss-sec/2015/q1/506) (CVE-2015-0255), которая может привести к утечке содержимого памяти сервера. Клиент, имеющий доступ к X-серверу, отправив специально оформленный запрос XkbSetGeometry, может инициировать утечку данных через буферы XKB. Размер порции данных ограничен 64Кб, но через запрос строк по цепочке можно получить больше информации. Проблема присутствует начиная с выпуска X11R6.1, представленного в марте 1996 года. Кроме того, уязвимость (https://www.cups.org/str.php?L4551) устранена (http://seclists.org/oss-sec/2015/q1/503) в корректирующем выпуске свободной системы печати CUPS 2.0.2 (https://www.cups.org/). Проблема вызвана переполнением буфера в функции cupsRasterReadPixels и может быть эксплуатирована через отправку на печать сжатых растровых данных, снабжённых специально оформленным заголовком страницы. URL: http://seclists.org/oss-sec/2015/q1/506 Новость: http://www.opennet.me/opennews/art.shtml?num=41654
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимости в X.Org Server и CUPS, Xaionaro, 10:36 , 11-Фев-15, (1)

Уязвимости в X.Org Server и CUPS, Zenitur, 10:41 , 11-Фев-15, (2)
Уязвимости в X.Org Server и CUPS, Аноним, 11:21 , 11-Фев-15, (3) +1

Уязвимости в X.Org Server и CUPS, Дждо, 11:44 , 11-Фев-15, (4) –1

Уязвимости в X.Org Server и CUPS, Аноним, 14:14 , 11-Фев-15, (8)
(offtopic) легковесная виртуализация/изоляция приложений, Michael Shigorin, 14:46 , 11-Фев-15, (9) –1

(offtopic) легковесная виртуализация/изоляция приложений, Аноним, 18:20 , 11-Фев-15, (18)

(offtopic) легковесная виртуализация/изоляция приложений, Michael Shigorin, 18:59 , 11-Фев-15, (19) +1

(offtopic) легковесная виртуализация/изоляция приложений, Аноним, 19:32 , 11-Фев-15, (20) +1

(offtopic) легковесная виртуализация/изоляция приложений, Michael Shigorin, 19:42 , 11-Фев-15, (22) –1

Уязвимости в X.Org Server и CUPS, _KUL, 12:56 , 11-Фев-15, (6) +5

Уязвимости в X.Org Server и CUPS, Аноним, 13:13 , 11-Фев-15, (7)
Уязвимости в X.Org Server и CUPS, pavlinux, 15:18 , 11-Фев-15, (10) –1

Уязвимости в X.Org Server и CUPS, cmp, 15:33 , 11-Фев-15, (11) +2

Уязвимости в X.Org Server и CUPS, абвгдейка, 16:53 , 11-Фев-15, (13)

Уязвимости в X.Org Server и CUPS, клоун, 18:06 , 11-Фев-15, (17) –2
Уязвимости в X.Org Server и CUPS, cmp, 08:33 , 12-Фев-15, (28)

Уязвимости в X.Org Server и CUPS, абвгдейка, 13:54 , 12-Фев-15, (29) –1

Уязвимости в X.Org Server и CUPS, cmp, 17:01 , 13-Фев-15, (32)

Уязвимости в X.Org Server и CUPS, Аноним, 19:34 , 11-Фев-15, (21) +1

Уязвимости в X.Org Server и CUPS, Аноним, 16:48 , 11-Фев-15, (12) –10

Уязвимости в X.Org Server и CUPS, Клыкастый, 18:04 , 11-Фев-15, (16) +10

Уязвимости в X.Org Server и CUPS, Аноним, 20:24 , 11-Фев-15, (24) +2
Уязвимости в X.Org Server и CUPS, soarin, 08:21 , 12-Фев-15, (27) +2

Уязвимости в X.Org Server и CUPS, Аноним, 20:30 , 11-Фев-15, (25) +1
Уязвимости в X.Org Server и CUPS, Аноним, 03:32 , 12-Фев-15, (26) +1
Уязвимости в X.Org Server и CUPS, Xaionaro, 20:24 , 12-Фев-15, (30)

Уязвимости в X.Org Server и CUPS, Аноним, 15:42 , 13-Фев-15, (31)

Уязвимости в X.Org Server и CUPS, manster, 17:25 , 11-Фев-15, (15) –1

Сообщения по теме [Сортировка по времени | RSS]

1. "Уязвимости в X.Org Server и CUPS" +/–

Сообщение от Xaionaro (ok) on 11-Фев-15, 10:36

> Клиент, имеющий доступ к X-серверу, отправив специально оформленный запрос XkbSetGeometry, может инициировать утечку данных через буферы XKB.
Интересно, а кто-нибудь из местной публики использует Xorg для соединений от недоверенных клиентов?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимости в X.Org Server и CUPS" +/–

Сообщение от Zenitur (ok) on 11-Фев-15, 10:41

Только для локальной сети.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимости в X.Org Server и CUPS" +1 +/–

Сообщение от Аноним (??) on 11-Фев-15, 11:21

Запуск скупэ из чрута.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимости в X.Org Server и CUPS" –1 +/–

Сообщение от Дждо on 11-Фев-15, 11:44

> Запуск скупэ из чрута.
В свое время  браузер от своего юзера запускал.  Извращение еще то.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Уязвимости в X.Org Server и CUPS" +/–

Сообщение от Аноним (??) on 11-Фев-15, 14:14

А как насчёт через dial-up 33.6 kbps по протоколу NX, когда он ещё свободен был, весь рабочий стол кдешный? Не сахар конечно, но работать можно, если сильно нужно. А по локалке 100 Mbps можно и без сжатия комфортно.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "(offtopic) легковесная виртуализация/изоляция приложений" –1 +/–

Сообщение от Michael Shigorin (ok) on 11-Фев-15, 14:46

> В свое время браузер от своего юзера запускал.  Извращение еще то.
http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2005.html -- и проще, и лучше.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "(offtopic) легковесная виртуализация/изоляция приложений" +/–

Сообщение от Аноним (??) on 11-Фев-15, 18:20

Это его в альте предполагается использовать завместо docker? Слудбы в нем можно запускать? Или, если требуется сохранять данные в контейнере, то хашер не подходит?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "(offtopic) легковесная виртуализация/изоляция приложений" +1 +/–

Сообщение от Michael Shigorin (ok) on 11-Фев-15, 18:59

> Это его в альте предполагается использовать завместо docker?
Вообще-то в альте hasher доступен с 2003 года -- а предлагалось использовать для запуска приложений, как видим по дате в ссылке, почти десятилетие тому.
> Службы в нем можно запускать?
Не пробовал, для них обычно оказываются практичней VE.
$ hsh --initroot $TMP/hasher
$ hsh-install $TMP/hasher vixie-cron
$ hsh-run --rooter $TMP/hasher service crond start
Starting crond service: <78>Feb 11 15:56:09 crond[14832]: (CRON) STARTUP (V5.0)
<29>Feb 11 15:56:09 crond: crond startup succeeded
[ DONE ]
Здесь фоновый процесс запустился, hsh-run не вернулся; при ^C был прибит и запущенный им crond.
С nginx без укрутки лимитов (или поднятия для hasher-priv) не вышло:
/etc/init.d/nginx: line 24: ulimit: open files: cannot modify limit: Operation not permitted
Вердикт -- при желании приспособить, наверное, можно, но с учётом ровно для того и предназначенных OpenVZ и LXC не видно смысла.
> Или, если требуется сохранять данные в контейнере, то хашер не подходит?
Он работает с чрутами -- на какой ФС разместите, там и будут сохраняться (или не сохраняться).
По сути решаются две задачи -- наполнение чрута (разворачивание приложения с зависимостями) и изоляция выполняемого кода с исключением атак на псевдопользователя, от которого возможно манипулировать "рутовым" содержимым чрута, и на вызывающего пользователя (который hsh-run запускал).
Кстати, слышал про порты hasher на fedora и вроде бы на debian.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "(offtopic) легковесная виртуализация/изоляция приложений" +1 +/–

Сообщение от Аноним (??) on 11-Фев-15, 19:32

> Вердикт -- при желании приспособить, наверное, можно, но с учётом ровно для того и предназначенных OpenVZ и LXC не видно смысла.
Да-да, одиночные сервисы в OpenVZ совать.. Ну посуйте - за одно поймете насколько это не весело, и сколько проблем у OpenVZ в этом случае.
hint. один процесс читающий диру и влетевший в какой либо из лимитов (cpu, io) тормозит все остальные операции в этой директории потому как удерживает i_mutex. И это by design. причем пытаются вставлять точки "сна" при вызове journal_start_handle. А так - да, попробуйте - потом расскажете.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "(offtopic) легковесная виртуализация/изоляция приложений" –1 +/–

Сообщение от Michael Shigorin (ok) on 11-Фев-15, 19:42

> Да-да, одиночные сервисы в OpenVZ совать.. Ну посуйте - за одно поймете
> насколько это не весело, и сколько проблем у OpenVZ в этом случае.
Во-первых, малыми группами и применял.  Во-вторых, в том же Clustrx был реализован подход вплоть до одиночных сервисов -- правда, на базе LXC.
> hint. один процесс читающий диру и влетевший в какой либо из лимитов
> (cpu, io) тормозит все остальные операции в этой директории потому как
> удерживает i_mutex. И это by design. причем пытаются вставлять точки "сна"
> при вызове journal_start_handle. А так - да, попробуйте - потом расскажете.
За хинт спасибо, на крохоборские муки не налетал.
PS: переслал знакомым ovz-шникам, вдруг польза какая получится.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

6. "Уязвимости в X.Org Server и CUPS" +5 +/–

Сообщение от _KUL (ok) on 11-Фев-15, 12:56

Админы народ ленивый и консервативный, имея сервак и сотню сервисов хорошо работающих, не будут багтрекеры этих продуктов парсить ежедневно. А вот опеннет читают за чаем(новости, новинки, срачи в коментариях), узнают про уязвимости на которые нужно обратить внимание и задумываются об apt-get upgrade.
Но от части да, ваше негодование понятно и от части солидарен с вами.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Уязвимости в X.Org Server и CUPS" +/–

Сообщение от Аноним (??) on 11-Фев-15, 13:13

> утечку данных ... Размер порции данных ограничен 64Кб, но через запрос строк по цепочке можно получить больше информации
> Проблема присутствует начиная с выпуска X11R6.1, представленного в марте 1996 года.
Утечка неопределённого количества данных из памяти сервера порциями по 64 КБ... Прообраз Heartbleed?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Уязвимости в X.Org Server и CUPS" –1 +/–

Сообщение от pavlinux (ok) on 11-Фев-15, 15:18

+ next = wire + XkbPaddedSize(len + 2);
+
+ /* Check we're still within the size of the request */
+ if (client->req_len < bytes_to_int32(next - (char *) client->requestBuffer))
+    return BadValue;
+
+ *str = malloc(len + 1);
+ if (!*str)
+    return BadAlloc;
+
+ memcpy(*str, &wire[2], len);
+ *(*str + len) = '\0';
+ *wire_inout = next;
+ return Success;
}
Довольно редкостная функция, им чо жалко calloc() иль malloc+memset сделать?
Так нет, надо выпендриться, посчитать длину и вписать туды нолик *(*str + len) = '\0';

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимости в X.Org Server и CUPS" +2 +/–

Сообщение от cmp (ok) on 11-Фев-15, 15:33

> Проблема присутствует начиная с выпуска X11R6.1, представленного в марте 1996 года.
Для того времени это нормальная практика, если бы каждая софтина каждый кусок памяти чистила до и после на тогдашних процах общий уровень производительности был бы на порядок ниже.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Уязвимости в X.Org Server и CUPS" +/–

Сообщение от абвгдейка on 11-Фев-15, 16:53

установка диапазона памяти в число - одна инструкция процессора уже более 30 лет и не может быть накладной априори :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Уязвимости в X.Org Server и CUPS" –2 +/–

Сообщение от клоун on 11-Фев-15, 18:06

А загрузка Линукса - другая.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "Уязвимости в X.Org Server и CUPS" +/–

Сообщение от cmp (ok) on 12-Фев-15, 08:33

линукс вроде как кроссплатформенный, так что возникает вопрос какого процессора.
Вообще, 20 лет прошло с тех пор, кто знает откуда этот код был скопирован и почему было написано именно так, вполне вероятно, что автор и не помыслял о том, что эта память будет отдана процессу другого юзера, спецификации tcp/ip тоже состоят из "багов" которые можно использовать во зле, но так или иначе это фиксится.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

29. "Уязвимости в X.Org Server и CUPS" –1 +/–

Сообщение от абвгдейка on 12-Фев-15, 13:54

процессор - исполнитель, главное, что написал кодер и как это транслировал компилятор :)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Уязвимости в X.Org Server и CUPS" +/–

Сообщение от cmp (ok) on 13-Фев-15, 17:01

Есть такое выражение - короля делает свита, так и любой код делает контекст в котором он используется,и если изначально программист задумал и написал прогу таким образом, что все данные проходят из вне через проверку, а внутри уже бегают по функциям без проверок, то другой может сделать дописку которая позволяет данным попасть в, или уйти из проги без проверок, ну так программист то первоначальный не виноват, и компилятор не виноват.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

21. "Уязвимости в X.Org Server и CUPS" +1 +/–

Сообщение от Аноним (??) on 11-Фев-15, 19:34

> Довольно редкостная функция, им чо жалко calloc() иль malloc+memset сделать?
> Так нет, надо выпендриться, посчитать длину и вписать туды нолик *(*str +
> len) = '\0';
да да. Так видимо думали красавцы в ядре - которые постоянно обнуляли по 100 байт при создании иноды.
А в результате memset занимал очень интересный процент при некоторых workload..

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Уязвимости в X.Org Server и CUPS" –10 +/–

Сообщение от Аноним (??) on 11-Фев-15, 16:48

X.Org - слишком устаревший, слишком захламлённый и слишком небезопасный.
Пора уже везде заменить это на нормальный современный графический сервер. А лучше на облака.
Да, именно, графические облака.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Уязвимости в X.Org Server и CUPS" +10 +/–

Сообщение от Клыкастый (ok) on 11-Фев-15, 18:04

а лучше сразу на лошадок. графических белогривых лошадок.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Уязвимости в X.Org Server и CUPS" +2 +/–

Сообщение от Аноним (??) on 11-Фев-15, 20:24

> а лучше сразу на лошадок. графических белогривых лошадок.
Сферических и в вакууме.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Уязвимости в X.Org Server и CUPS" +2 +/–

Сообщение от soarin on 12-Фев-15, 08:21

> а лучше сразу на лошадок. графических белогривых лошадок.
слишком тяжёлые, лучше пони

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

25. "Уязвимости в X.Org Server и CUPS" +1 +/–

Сообщение от Аноним (??) on 11-Фев-15, 20:30

>X.Org - слишком устаревший, слишком захламлённый и слишком небезопасный.
>Пора уже везде заменить это на нормальный современный графический сервер. А лучше на облака.
>Да, именно, графические облака.
Для таких как ты есть microsoft - потребляй их продукты и услуги. Мне не понятно что ты тут забыл вообще и для чего ты это пишешь. Очевидно же что думающие люди сделают как надо, а не будут слушать бредни всяких горлопанов.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

26. "Уязвимости в X.Org Server и CUPS" +1 +/–

Сообщение от Аноним (??) on 12-Фев-15, 03:32

Вместо того, чтобы попытаться понять как это должно выглядеть в реале и как это сделать, вы хаяте и стебётесь. Вполне обычное поведение для приматов.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

30. "Уязвимости в X.Org Server и CUPS" +/–

Сообщение от Xaionaro (ok) on 12-Фев-15, 20:24

> X.Org - слишком устаревший, слишком захламлённый и слишком небезопасный.
Вы Xorg с какой целью используете? Чем конкретно он вас не устраивает?
> Пора уже везде заменить это на нормальный современный графический сервер. А лучше на облака.
> Да, именно, графические облака.
*убрал эмоциональный текст*
Зачем?
P.S.: Если у вас слабенький ноут, и вы хотите задействовать другой компьютер для игрушек (вдруг ностальгия замучала или хотите в 0ad сыграть), то лично в моём случае неплохо подошёл virtualgl. Да-да, именно с применением этого «устаревшего» Xorg.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

31. "Уязвимости в X.Org Server и CUPS" +/–

Сообщение от Аноним (??) on 13-Фев-15, 15:42

А в моём подойдут графические облака.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

15. "Уязвимости в X.Org Server и CUPS" –1 +/–

Сообщение от manster (ok) on 11-Фев-15, 17:25

странно - в GLSA тишина

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в X.Org Server и CUPS"	+/–
Сообщение от Xaionaro (ok) on 11-Фев-15, 10:36
> Клиент, имеющий доступ к X-серверу, отправив специально оформленный запрос XkbSetGeometry, может инициировать утечку данных через буферы XKB. Интересно, а кто-нибудь из местной публики использует Xorg для соединений от недоверенных клиентов?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Уязвимости в X.Org Server и CUPS"	+/–
	Сообщение от Zenitur (ok) on 11-Фев-15, 10:41
	Только для локальной сети.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Уязвимости в X.Org Server и CUPS"	+1 +/–
	Сообщение от Аноним (??) on 11-Фев-15, 11:21
	Запуск скупэ из чрута.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "Уязвимости в X.Org Server и CUPS"	–1 +/–
	Сообщение от Дждо on 11-Фев-15, 11:44
	> Запуск скупэ из чрута. В свое время браузер от своего юзера запускал. Извращение еще то.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	8. "Уязвимости в X.Org Server и CUPS"	+/–
	Сообщение от Аноним (??) on 11-Фев-15, 14:14
	А как насчёт через dial-up 33.6 kbps по протоколу NX, когда он ещё свободен был, весь рабочий стол кдешный? Не сахар конечно, но работать можно, если сильно нужно. А по локалке 100 Mbps можно и без сжатия комфортно.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	9. "(offtopic) легковесная виртуализация/изоляция приложений"	–1 +/–
	Сообщение от Michael Shigorin (ok) on 11-Фев-15, 14:46
	> В свое время браузер от своего юзера запускал. Извращение еще то. http://ftp.altlinux.org/pub/people/ldv/hasher/thesis-2005.html -- и проще, и лучше.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	18. "(offtopic) легковесная виртуализация/изоляция приложений"	+/–
	Сообщение от Аноним (??) on 11-Фев-15, 18:20
	Это его в альте предполагается использовать завместо docker? Слудбы в нем можно запускать? Или, если требуется сохранять данные в контейнере, то хашер не подходит?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	19. "(offtopic) легковесная виртуализация/изоляция приложений"	+1 +/–
	Сообщение от Michael Shigorin (ok) on 11-Фев-15, 18:59
	> Это его в альте предполагается использовать завместо docker? Вообще-то в альте hasher доступен с 2003 года -- а предлагалось использовать для запуска приложений, как видим по дате в ссылке, почти десятилетие тому. > Службы в нем можно запускать? Не пробовал, для них обычно оказываются практичней VE. $ hsh --initroot $TMP/hasher $ hsh-install $TMP/hasher vixie-cron $ hsh-run --rooter $TMP/hasher service crond start Starting crond service: <78>Feb 11 15:56:09 crond[14832]: (CRON) STARTUP (V5.0) <29>Feb 11 15:56:09 crond: crond startup succeeded [ DONE ] Здесь фоновый процесс запустился, hsh-run не вернулся; при ^C был прибит и запущенный им crond. С nginx без укрутки лимитов (или поднятия для hasher-priv) не вышло: /etc/init.d/nginx: line 24: ulimit: open files: cannot modify limit: Operation not permitted Вердикт -- при желании приспособить, наверное, можно, но с учётом ровно для того и предназначенных OpenVZ и LXC не видно смысла. > Или, если требуется сохранять данные в контейнере, то хашер не подходит? Он работает с чрутами -- на какой ФС разместите, там и будут сохраняться (или не сохраняться). По сути решаются две задачи -- наполнение чрута (разворачивание приложения с зависимостями) и изоляция выполняемого кода с исключением атак на псевдопользователя, от которого возможно манипулировать "рутовым" содержимым чрута, и на вызывающего пользователя (который hsh-run запускал). Кстати, слышал про порты hasher на fedora и вроде бы на debian.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "(offtopic) легковесная виртуализация/изоляция приложений"	+1 +/–
	Сообщение от Аноним (??) on 11-Фев-15, 19:32
	> Вердикт -- при желании приспособить, наверное, можно, но с учётом ровно для того и предназначенных OpenVZ и LXC не видно смысла. Да-да, одиночные сервисы в OpenVZ совать.. Ну посуйте - за одно поймете насколько это не весело, и сколько проблем у OpenVZ в этом случае. hint. один процесс читающий диру и влетевший в какой либо из лимитов (cpu, io) тормозит все остальные операции в этой директории потому как удерживает i_mutex. И это by design. причем пытаются вставлять точки "сна" при вызове journal_start_handle. А так - да, попробуйте - потом расскажете.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	22. "(offtopic) легковесная виртуализация/изоляция приложений"	–1 +/–
	Сообщение от Michael Shigorin (ok) on 11-Фев-15, 19:42
	> Да-да, одиночные сервисы в OpenVZ совать.. Ну посуйте - за одно поймете > насколько это не весело, и сколько проблем у OpenVZ в этом случае. Во-первых, малыми группами и применял. Во-вторых, в том же Clustrx был реализован подход вплоть до одиночных сервисов -- правда, на базе LXC. > hint. один процесс читающий диру и влетевший в какой либо из лимитов > (cpu, io) тормозит все остальные операции в этой директории потому как > удерживает i_mutex. И это by design. причем пытаются вставлять точки "сна" > при вызове journal_start_handle. А так - да, попробуйте - потом расскажете. За хинт спасибо, на крохоборские муки не налетал. PS: переслал знакомым ovz-шникам, вдруг польза какая получится.
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	6. "Уязвимости в X.Org Server и CUPS"	+5 +/–
	Сообщение от _KUL (ok) on 11-Фев-15, 12:56
	Админы народ ленивый и консервативный, имея сервак и сотню сервисов хорошо работающих, не будут багтрекеры этих продуктов парсить ежедневно. А вот опеннет читают за чаем(новости, новинки, срачи в коментариях), узнают про уязвимости на которые нужно обратить внимание и задумываются об apt-get upgrade. Но от части да, ваше негодование понятно и от части солидарен с вами.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

7. "Уязвимости в X.Org Server и CUPS"	+/–
Сообщение от Аноним (??) on 11-Фев-15, 13:13
> утечку данных ... Размер порции данных ограничен 64Кб, но через запрос строк по цепочке можно получить больше информации > Проблема присутствует начиная с выпуска X11R6.1, представленного в марте 1996 года. Утечка неопределённого количества данных из памяти сервера порциями по 64 КБ... Прообраз Heartbleed?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

10. "Уязвимости в X.Org Server и CUPS"	–1 +/–
Сообщение от pavlinux (ok) on 11-Фев-15, 15:18
+ next = wire + XkbPaddedSize(len + 2); + + /* Check we're still within the size of the request / + if (client->req_len < bytes_to_int32(next - (char ) client->requestBuffer)) + return BadValue; + + str = malloc(len + 1); + if (!str) + return BadAlloc; + + memcpy(str, &wire[2], len); + (str + len) = '\0'; + wire_inout = next; + return Success; } Довольно редкостная функция, им чо жалко calloc() иль malloc+memset сделать? Так нет, надо выпендриться, посчитать длину и вписать туды нолик (str + len) = '\0';
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	11. "Уязвимости в X.Org Server и CUPS"	+2 +/–
	Сообщение от cmp (ok) on 11-Фев-15, 15:33
	> Проблема присутствует начиная с выпуска X11R6.1, представленного в марте 1996 года. Для того времени это нормальная практика, если бы каждая софтина каждый кусок памяти чистила до и после на тогдашних процах общий уровень производительности был бы на порядок ниже.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "Уязвимости в X.Org Server и CUPS"	+/–
	Сообщение от абвгдейка on 11-Фев-15, 16:53
	установка диапазона памяти в число - одна инструкция процессора уже более 30 лет и не может быть накладной априори :)
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	17. "Уязвимости в X.Org Server и CUPS"	–2 +/–
	Сообщение от клоун on 11-Фев-15, 18:06
	А загрузка Линукса - другая.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	28. "Уязвимости в X.Org Server и CUPS"	+/–
	Сообщение от cmp (ok) on 12-Фев-15, 08:33
	линукс вроде как кроссплатформенный, так что возникает вопрос какого процессора. Вообще, 20 лет прошло с тех пор, кто знает откуда этот код был скопирован и почему было написано именно так, вполне вероятно, что автор и не помыслял о том, что эта память будет отдана процессу другого юзера, спецификации tcp/ip тоже состоят из "багов" которые можно использовать во зле, но так или иначе это фиксится.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	29. "Уязвимости в X.Org Server и CUPS"	–1 +/–
	Сообщение от абвгдейка on 12-Фев-15, 13:54
	процессор - исполнитель, главное, что написал кодер и как это транслировал компилятор :)
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору


	32. "Уязвимости в X.Org Server и CUPS"	+/–
	Сообщение от cmp (ok) on 13-Фев-15, 17:01
	Есть такое выражение - короля делает свита, так и любой код делает контекст в котором он используется,и если изначально программист задумал и написал прогу таким образом, что все данные проходят из вне через проверку, а внутри уже бегают по функциям без проверок, то другой может сделать дописку которая позволяет данным попасть в, или уйти из проги без проверок, ну так программист то первоначальный не виноват, и компилятор не виноват.
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору


	21. "Уязвимости в X.Org Server и CUPS"	+1 +/–
	Сообщение от Аноним (??) on 11-Фев-15, 19:34
	> Довольно редкостная функция, им чо жалко calloc() иль malloc+memset сделать? > Так нет, надо выпендриться, посчитать длину и вписать туды нолик (str + > len) = '\0'; да да. Так видимо думали красавцы в ядре - которые постоянно обнуляли по 100 байт при создании иноды. А в результате memset занимал очень интересный процент при некоторых workload..
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору

12. "Уязвимости в X.Org Server и CUPS"	–10 +/–
Сообщение от Аноним (??) on 11-Фев-15, 16:48
X.Org - слишком устаревший, слишком захламлённый и слишком небезопасный. Пора уже везде заменить это на нормальный современный графический сервер. А лучше на облака. Да, именно, графические облака.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	16. "Уязвимости в X.Org Server и CUPS"	+10 +/–
	Сообщение от Клыкастый (ok) on 11-Фев-15, 18:04
	а лучше сразу на лошадок. графических белогривых лошадок.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	24. "Уязвимости в X.Org Server и CUPS"	+2 +/–
	Сообщение от Аноним (??) on 11-Фев-15, 20:24
	> а лучше сразу на лошадок. графических белогривых лошадок. Сферических и в вакууме.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	27. "Уязвимости в X.Org Server и CUPS"	+2 +/–
	Сообщение от soarin on 12-Фев-15, 08:21
	> а лучше сразу на лошадок. графических белогривых лошадок. слишком тяжёлые, лучше пони
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	25. "Уязвимости в X.Org Server и CUPS"	+1 +/–
	Сообщение от Аноним (??) on 11-Фев-15, 20:30
	>X.Org - слишком устаревший, слишком захламлённый и слишком небезопасный. >Пора уже везде заменить это на нормальный современный графический сервер. А лучше на облака. >Да, именно, графические облака. Для таких как ты есть microsoft - потребляй их продукты и услуги. Мне не понятно что ты тут забыл вообще и для чего ты это пишешь. Очевидно же что думающие люди сделают как надо, а не будут слушать бредни всяких горлопанов.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	26. "Уязвимости в X.Org Server и CUPS"	+1 +/–
	Сообщение от Аноним (??) on 12-Фев-15, 03:32
	Вместо того, чтобы попытаться понять как это должно выглядеть в реале и как это сделать, вы хаяте и стебётесь. Вполне обычное поведение для приматов.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	30. "Уязвимости в X.Org Server и CUPS"	+/–
	Сообщение от Xaionaro (ok) on 12-Фев-15, 20:24
	> X.Org - слишком устаревший, слишком захламлённый и слишком небезопасный. Вы Xorg с какой целью используете? Чем конкретно он вас не устраивает? > Пора уже везде заменить это на нормальный современный графический сервер. А лучше на облака. > Да, именно, графические облака. убрал эмоциональный текст Зачем? P.S.: Если у вас слабенький ноут, и вы хотите задействовать другой компьютер для игрушек (вдруг ностальгия замучала или хотите в 0ad сыграть), то лично в моём случае неплохо подошёл virtualgl. Да-да, именно с применением этого «устаревшего» Xorg.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	31. "Уязвимости в X.Org Server и CUPS"	+/–
	Сообщение от Аноним (??) on 13-Фев-15, 15:42
	А в моём подойдут графические облака.
	Ответить \| Правка \| ^ к родителю #30 \| Наверх \| Cообщить модератору

15. "Уязвимости в X.Org Server и CUPS"	–1 +/–
Сообщение от manster (ok) on 11-Фев-15, 17:25
странно - в GLSA тишина
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору