The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление libinput 1.20.1 с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление libinput 1.20.1 с устранением уязвимости"  +/
Сообщение от opennews (ok), 20-Апр-22, 13:57 
В библиотеке libinput 1.20.1, предоставляющей унифицированный стек ввода, позволяющий использовать одни и те же средства обработки событий от устройств ввода в окружениях на базе Wayland и X.Org, устранена уязвимость (CVE-2022-1215), позволяющая организовать выполнение своего кода при подключении к системе специально модифицированного/эмулируемого устройства ввода. Проблема проявляется в окружениях на базе X.Org и Wayland, и может быть эксплуатирована как при локальном подключении устройств, так и при манипуляциях с устройствами  с интерфейсом Bluetooth. В случае выполнения X-сервера с правами root уязвимость позволяет добиться выполнения кода с повышенными привилегиями...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57053

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


3. "Обновление libinput 1.20.1 с устранением уязвимости"  +4 +/
Сообщение от Анонн (?), 20-Апр-22, 14:00 
Какая прелесть. Прям классика. Даже комментировать нечего.
Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление libinput 1.20.1 с устранением уязвимости"  +9 +/
Сообщение от Аноним (5), 20-Апр-22, 14:10 
> Какая прелесть

Бро, держи краба!

Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление libinput 1.20.1 с устранением уязвимости"  –2 +/
Сообщение от Аноним (11), 20-Апр-22, 15:45 
Я бы сказал cRustoceanа.
Ответить | Правка | Наверх | Cообщить модератору

46. "Обновление libinput 1.20.1 с устранением уязвимости"  +1 +/
Сообщение от Аноним (46), 22-Апр-22, 01:51 
Хрустомания в соседней новости.
Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление libinput 1.20.1 с устранением уязвимости"  +7 +/
Сообщение от Аноним (14), 20-Апр-22, 16:20 
сенсация века. аноним уходит с опеннета, потому что нечего больше комментировать. все комментарии уже написаны. а некоторые и не один раз. а некоторые и не 100. знай, подставляй в случайном порядке, а всё это можно сделать и без анонима.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

40. "Обновление libinput 1.20.1 с устранением уязвимости"  +1 +/
Сообщение от uis (ok), 21-Апр-22, 13:06 
-fstack-protector
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

41. "Обновление libinput 1.20.1 с устранением уязвимости"  +/
Сообщение от Анонн (?), 21-Апр-22, 13:23 
Это конечно хорошо, но оно "лечит" только последствия, а не первопричину.
И по какой-то странной причине его не включают по умолчанию.
Ответить | Правка | Наверх | Cообщить модератору

47. "Обновление libinput 1.20.1 с устранением уязвимости"  +1 +/
Сообщение от Аноним (46), 22-Апр-22, 01:52 
Приличные дистры уже много лет как включают вообще-то.
Ответить | Правка | Наверх | Cообщить модератору

50. "Обновление libinput 1.20.1 с устранением уязвимости"  +1 +/
Сообщение от Michael Shigorinemail (ok), 22-Апр-22, 21:24 
Вспомнилось: http://lists.altlinux.org/pipermail/devel/2010-June/182660.html
Ответить | Правка | Наверх | Cообщить модератору

54. "Обновление libinput 1.20.1 с устранением уязвимости"  +/
Сообщение от uis (ok), 27-Апр-22, 09:07 
Настоящие решения:
1) printf("%s", strintg)
2) fwrite(string, strlen(string), 1, stdout)
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

4. "Обновление libinput 1.20.1 с устранением уязвимости"  +1 +/
Сообщение от Аноним (5), 20-Апр-22, 14:10 
> в окружениях на базе Wayland ... выполнение своего кода при подключении ... специально модифицированного/эмулируемого устройства ввода

Какая прелесть! А что ещё припасено в шкафу у этой команды вайленда? Для иксовых программ эта либа не нужна.

Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление libinput 1.20.1 с устранением уязвимости"  –1 +/
Сообщение от Аноним (6), 20-Апр-22, 14:20 
> Для иксовых программ эта либа не нужна

нужна

Ответить | Правка | Наверх | Cообщить модератору

7. "Обновление libinput 1.20.1 с устранением уязвимости"  +/
Сообщение от Аноним (5), 20-Апр-22, 14:30 
У меня иксы есть, а какой-то libinput - отродясь не было и нет.
Ответить | Правка | Наверх | Cообщить модератору

8. "Обновление libinput 1.20.1 с устранением уязвимости"  +/
Сообщение от Аноним (8), 20-Апр-22, 15:12 
С тех пор, как kbd/mouse депрекейтнули, вариантов не много. Evdev дрянь.
Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление libinput 1.20.1 с устранением уязвимости"  –1 +/
Сообщение от Аноним (13), 20-Апр-22, 15:54 
kbd/mouse тоже от чего-то подобного не застрахованы.
Ответить | Правка | Наверх | Cообщить модератору

25. "Обновление libinput 1.20.1 с устранением уязвимости"  –3 +/
Сообщение от nvidiaamd (?), 20-Апр-22, 21:08 
Но до сих пор работают и там этого нет. А почему? А потому что ваши вяленые ручки туда не добрались, и это хорошо.
Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление libinput 1.20.1 с устранением уязвимости"  +1 +/
Сообщение от Аноним (8), 21-Апр-22, 00:13 
> kbd/mouse тоже от чего-то подобного не застрахованы.

Они меньше и проще, им не нужно уметь всё на свете и они прекрасно справляются со всеми своими обязанностями. Скорее всего, там нет такой ерунды с идентификаторами (которые могут быть вообще любой дичью). Но, не модно, да.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

42. "Обновление libinput 1.20.1 с устранением уязвимости"  +1 +/
Сообщение от Аноним (42), 21-Апр-22, 13:45 
Да, XKBD так хорош, что у нас до сих пор работа горячих клавиш зависит от текущей раскладки клавиатуры и от порядка в котором эти самые раскладки указаны в конфиге
Ответить | Правка | Наверх | Cообщить модератору

43. "Обновление libinput 1.20.1 с устранением уязвимости"  +/
Сообщение от Аноним (8), 21-Апр-22, 21:55 
Так это к каждой отдельной программе вопросы.
Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление libinput 1.20.1 с устранением уязвимости"  +1 +/
Сообщение от Аноним (32), 21-Апр-22, 01:51 
>Evdev дрянь

Поясни.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

44. "Обновление libinput 1.20.1 с устранением уязвимости"  +/
Сообщение от Аноним (8), 21-Апр-22, 22:05 
Что пояснить? Ему 20+ лет, а баги до сих пор лезут, едва ли не больше чем с libinput, который сравнительно неплох (баги тоже бывают правда, не хотят исправлять наверно).
Ответить | Правка | Наверх | Cообщить модератору

45. "Обновление libinput 1.20.1 с устранением уязвимости"  +/
Сообщение от Аноним (45), 21-Апр-22, 22:52 
Я в генте использую evdev, багов не замечал. Какие конкретно баги у тебя были?
Ответить | Правка | Наверх | Cообщить модератору

48. "Обновление libinput 1.20.1 с устранением уязвимости"  +/
Сообщение от Аноним (8), 22-Апр-22, 10:31 
Глюки мышки и что-то с хоткеями. Ещё с геймпадом из-за этого evdev постоянно сражаться приходится, и как только выкидываешь evdev, всё сразу работает. Какой ответ ты хочешь получить, учитывая, что я больше 10 лет его избегаю? У libinput тоже был баг с мышкой и задержка ввода. А вот kbd/mouse я не помню чтобы меня подводили.
Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление libinput 1.20.1 с устранением уязвимости"  –1 +/
Сообщение от Аноним (6), 21-Апр-22, 04:00 
у меня иксы есть, а какой-то libinput - всегда есть. при его удалении сносится пол системы, включая, например, qt5/qt6 (давай, как баран, зацепись за пример с qt и только на эту часть отвечай)
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

34. "Обновление libinput 1.20.1 с устранением уязвимости"  –1 +/
Сообщение от Аноним (6), 21-Апр-22, 04:01 
отвечать про qt желательно в духе "не нужно, кокoко, qt плохой"
Ответить | Правка | Наверх | Cообщить модератору

52. "Обновление libinput 1.20.1 с устранением уязвимости"  +/
Сообщение от Аноним (5), 25-Апр-22, 03:09 
тебе надо поменьше самому с собой разговаривать.
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +3 +/
Сообщение от test (??), 20-Апр-22, 15:19 
У меня xorg под юзером
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от crypt (ok), 21-Апр-22, 11:38 
это только в OpenBSD по-моему.
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от whoami (??), 24-Апр-22, 05:46 
Отрицательно. Arch Linux, после логина ввожу startx (имеется предварительно сконфигуреный .xinitrc), все замечательно.
Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от Аноним (55), 28-Апр-22, 12:02 
GDM стартует Xorg под пользователем, по-умолчанию.
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

10. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +4 +/
Сообщение от ip1982 (ok), 20-Апр-22, 15:25 
При подключении вредоносного человека к клавиатуре :)
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +4 +/
Сообщение от Аноним (11), 20-Апр-22, 15:50 
Справедливости ради - при подключении вредоносного устройства ввода можно эмулировать этот самый ввод и через ввод команд сделать что нужно. Для исполнения sh-скрипта, ищущего на компе SSH-ключи и криптовалюные кошельки права рута не требуются.

Кто хочет защититься - тот использует https://packages.ubuntu.com/jammy/usbauth .

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +1 +/
Сообщение от Анонн (?), 20-Апр-22, 17:01 
М... так там написано, что уязвимость и по блютус тоже работает. Как тут usbauth поможет?
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от Аноним (23), 20-Апр-22, 20:36 
Очевидно, не подключать через блютуз.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от Аноним (5), 21-Апр-22, 07:11 
и комп из розетки выдернуть.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +1 +/
Сообщение от Аноним (17), 20-Апр-22, 17:10 
> при подключении вредоносного устройства ввода можно эмулировать этот самый ввод и через ввод команд сделать что нужно

Даже готовые продукты были на рынке прд это дело, с виду флешка, а в ней кроме накопителя минимальный обвес для стимуляции ввода. Закидываешь скрипт.txt, подключаешь и готово. Я так пару десятков биосов как-то раз настраивал, когда Dell облажался и прислал ненастроенные серваки.

Но так-то при наличии физического доступа к машине можно много чего сделать. А при физическом доступе к владельцу и подавно. Пальцы в дверь и через минуту хруста все пароли расхэшируются сами собой как по волшебству.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

21. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +1 +/
Сообщение от Аноним (11), 20-Апр-22, 19:51 
>Я так пару десятков биосов как-то раз настраивал, когда Dell облажался и прислал ненастроенные серваки.

Наверное легче было вручную настроить, чем скрипт отладить?

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от systemdnoname (?), 20-Апр-22, 21:55 
когда у тебя сотни физических серверов - не легче. ВСегда делаю скрипты на что-то больше 0. рекомендую.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от Аноним (31), 21-Апр-22, 00:32 
> обвес для стимуляции ввода

Током било и в таком духе?

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

56. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от Аноним (55), 28-Апр-22, 12:05 
Можно usbguard'ом порезать устройства ввода выдающие себя за накопители.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

16. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от Анонн (?), 20-Апр-22, 17:07 
А вообще забавно.
"Уязвимости в swhkd", которой пользуются полторы калеки из суси попала в "Главные новости"
А эта "Уязвимость в libinput" которая есть ну дофига где, в "мини-новости".

Неужели безопасность всех пользователей libinput не достойна "Главной новости"?))

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  –2 +/
Сообщение от Аноним (18), 20-Апр-22, 17:56 
Ну так разжечь то надо. Там руст-хруст, а, следовательно, 100500 комментариев. А тут священная сишечка, да еще и няшный ксорг. Идеологически нельзя допускать даже мысли что первое не так важно как второе.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +3 +/
Сообщение от Аноним (20), 20-Апр-22, 19:28 
Суть в том что мегазащищенные хруст с гейландом ничем не лучше сишечки и иксов. Даже хуже, потому как первые не декларируются как "более лучшая замена" вторых, по факту таковыми не являющиеся.
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  –2 +/
Сообщение от Аноним (28), 20-Апр-22, 22:04 
Не поленитесь, сходите посмотреть на "исправление". Это ржака:

> Return a copy of str with all % converted to %% to make the string

* acceptable as printf format.

Костыли для языка-инвалида из 70-х.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от Аноним (29), 20-Апр-22, 22:49 
Мда... Это просто facepalm какой-то...

Для ленивых вот коммит https://gitlab.freedesktop.org/libinput/libinput/-/commit/2a..., функция str_sanitize

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от Аноним (36), 21-Апр-22, 10:53 
https://gitlab.freedesktop.org/libinput/libinput/-/commit/2a...

FF запятую в адрес суёт.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от Аноним (37), 21-Апр-22, 11:25 
> FF запятую в адрес суёт.

curl тоже, не говоря о links, и даже chromium

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +3 +/
Сообщение от uis (ok), 21-Апр-22, 12:57 
> Костыли для языка-инвалида из 70-х.

Скорее просто костыли инвалида.
Во всех мануалах им пишут "не суй непроверенные данные в формат", а они суют и суют.
Настоящие решения:
1) printf("%s", strintg)
2) fwrite(string, strlen(string), 1, stdout)

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

49. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от Аноним (-), 22-Апр-22, 16:00 
Настоящее решение собрать все данные в структуру, которую затем вывести одним printf'ом. То есть сначала собрать, а потом вывести, а не по мере получения данных дописывать строку.
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в libinput, приводящая к выполнению кода при подк..."  +/
Сообщение от uis (ok), 27-Апр-22, 09:04 
Сголасен, так лучше. Я это как пример приводил, а то ходят тут непорикаянные джависты^W растоманы
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру