Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление libinput 1.20.1 с устранением уязвимости"	+/–
Сообщение от opennews (ok), 20-Апр-22, 13:57
В библиотеке libinput 1.20.1, предоставляющей унифицированный стек ввода, позволяющий использовать одни и те же средства обработки событий от устройств ввода в окружениях на базе Wayland и X.Org, устранена уязвимость (CVE-2022-1215), позволяющая организовать выполнение своего кода при подключении к системе специально модифицированного/эмулируемого устройства ввода. Проблема проявляется в окружениях на базе X.Org и Wayland, и может быть эксплуатирована как при локальном подключении устройств, так и при манипуляциях с устройствами  с интерфейсом Bluetooth. В случае выполнения X-сервера с правами root уязвимость позволяет добиться выполнения кода с повышенными привилегиями... Подробнее: https://www.opennet.me/opennews/art.shtml?num=57053
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

3. "Обновление libinput 1.20.1 с устранением уязвимости"	+4 +/–
Сообщение от Анонн (?), 20-Апр-22, 14:00
Какая прелесть. Прям классика. Даже комментировать нечего.
Ответить | Правка | Наверх | Cообщить модератору

	5. "Обновление libinput 1.20.1 с устранением уязвимости"	+9 +/–
	Сообщение от Аноним (5), 20-Апр-22, 14:10
	> Какая прелесть Бро, держи краба!
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Обновление libinput 1.20.1 с устранением уязвимости"	–2 +/–
	Сообщение от Аноним (11), 20-Апр-22, 15:45
	Я бы сказал cRustoceanа.
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Обновление libinput 1.20.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (46), 22-Апр-22, 01:51
	Хрустомания в соседней новости.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Обновление libinput 1.20.1 с устранением уязвимости"	+7 +/–
	Сообщение от Аноним (14), 20-Апр-22, 16:20
	сенсация века. аноним уходит с опеннета, потому что нечего больше комментировать. все комментарии уже написаны. а некоторые и не один раз. а некоторые и не 100. знай, подставляй в случайном порядке, а всё это можно сделать и без анонима.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	40. "Обновление libinput 1.20.1 с устранением уязвимости"	+1 +/–
	Сообщение от uis (ok), 21-Апр-22, 13:06
	-fstack-protector
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	41. "Обновление libinput 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Анонн (?), 21-Апр-22, 13:23
	Это конечно хорошо, но оно "лечит" только последствия, а не первопричину. И по какой-то странной причине его не включают по умолчанию.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Обновление libinput 1.20.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (46), 22-Апр-22, 01:52
	Приличные дистры уже много лет как включают вообще-то.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Обновление libinput 1.20.1 с устранением уязвимости"	+1 +/–
	Сообщение от Michael Shigorin (ok), 22-Апр-22, 21:24
	Вспомнилось: http://lists.altlinux.org/pipermail/devel/2010-June/182660.html
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Обновление libinput 1.20.1 с устранением уязвимости"	+/–
	Сообщение от uis (ok), 27-Апр-22, 09:07
	Настоящие решения: 1) printf("%s", strintg) 2) fwrite(string, strlen(string), 1, stdout)
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

4. "Обновление libinput 1.20.1 с устранением уязвимости"	+1 +/–
Сообщение от Аноним (5), 20-Апр-22, 14:10
> в окружениях на базе Wayland ... выполнение своего кода при подключении ... специально модифицированного/эмулируемого устройства ввода Какая прелесть! А что ещё припасено в шкафу у этой команды вайленда? Для иксовых программ эта либа не нужна.
Ответить | Правка | Наверх | Cообщить модератору

	6. "Обновление libinput 1.20.1 с устранением уязвимости"	–1 +/–
	Сообщение от Аноним (6), 20-Апр-22, 14:20
	> Для иксовых программ эта либа не нужна нужна
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Обновление libinput 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (5), 20-Апр-22, 14:30
	У меня иксы есть, а какой-то libinput - отродясь не было и нет.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Обновление libinput 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (8), 20-Апр-22, 15:12
	С тех пор, как kbd/mouse депрекейтнули, вариантов не много. Evdev дрянь.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Обновление libinput 1.20.1 с устранением уязвимости"	–1 +/–
	Сообщение от Аноним (13), 20-Апр-22, 15:54
	kbd/mouse тоже от чего-то подобного не застрахованы.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Обновление libinput 1.20.1 с устранением уязвимости"	–3 +/–
	Сообщение от nvidiaamd (?), 20-Апр-22, 21:08
	Но до сих пор работают и там этого нет. А почему? А потому что ваши вяленые ручки туда не добрались, и это хорошо.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Обновление libinput 1.20.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (8), 21-Апр-22, 00:13
	> kbd/mouse тоже от чего-то подобного не застрахованы. Они меньше и проще, им не нужно уметь всё на свете и они прекрасно справляются со всеми своими обязанностями. Скорее всего, там нет такой ерунды с идентификаторами (которые могут быть вообще любой дичью). Но, не модно, да.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	42. "Обновление libinput 1.20.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (42), 21-Апр-22, 13:45
	Да, XKBD так хорош, что у нас до сих пор работа горячих клавиш зависит от текущей раскладки клавиатуры и от порядка в котором эти самые раскладки указаны в конфиге
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Обновление libinput 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (8), 21-Апр-22, 21:55
	Так это к каждой отдельной программе вопросы.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Обновление libinput 1.20.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (32), 21-Апр-22, 01:51
	>Evdev дрянь Поясни.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	44. "Обновление libinput 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (8), 21-Апр-22, 22:05
	Что пояснить? Ему 20+ лет, а баги до сих пор лезут, едва ли не больше чем с libinput, который сравнительно неплох (баги тоже бывают правда, не хотят исправлять наверно).
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Обновление libinput 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (45), 21-Апр-22, 22:52
	Я в генте использую evdev, багов не замечал. Какие конкретно баги у тебя были?
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Обновление libinput 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (8), 22-Апр-22, 10:31
	Глюки мышки и что-то с хоткеями. Ещё с геймпадом из-за этого evdev постоянно сражаться приходится, и как только выкидываешь evdev, всё сразу работает. Какой ответ ты хочешь получить, учитывая, что я больше 10 лет его избегаю? У libinput тоже был баг с мышкой и задержка ввода. А вот kbd/mouse я не помню чтобы меня подводили.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Обновление libinput 1.20.1 с устранением уязвимости"	–1 +/–
	Сообщение от Аноним (6), 21-Апр-22, 04:00
	у меня иксы есть, а какой-то libinput - всегда есть. при его удалении сносится пол системы, включая, например, qt5/qt6 (давай, как баран, зацепись за пример с qt и только на эту часть отвечай)
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	34. "Обновление libinput 1.20.1 с устранением уязвимости"	–1 +/–
	Сообщение от Аноним (6), 21-Апр-22, 04:01
	отвечать про qt желательно в духе "не нужно, кокoко, qt плохой"
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Обновление libinput 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (5), 25-Апр-22, 03:09
	тебе надо поменьше самому с собой разговаривать.
	Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+3 +/–
Сообщение от test (??), 20-Апр-22, 15:19
У меня xorg под юзером
Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от crypt (ok), 21-Апр-22, 11:38
	это только в OpenBSD по-моему.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от whoami (??), 24-Апр-22, 05:46
	Отрицательно. Arch Linux, после логина ввожу startx (имеется предварительно сконфигуреный .xinitrc), все замечательно.
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от Аноним (55), 28-Апр-22, 12:02
	GDM стартует Xorg под пользователем, по-умолчанию.
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

10. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+4 +/–
Сообщение от ip1982 (ok), 20-Апр-22, 15:25
При подключении вредоносного человека к клавиатуре :)
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+4 +/–
Сообщение от Аноним (11), 20-Апр-22, 15:50
Справедливости ради - при подключении вредоносного устройства ввода можно эмулировать этот самый ввод и через ввод команд сделать что нужно. Для исполнения sh-скрипта, ищущего на компе SSH-ключи и криптовалюные кошельки права рута не требуются. Кто хочет защититься - тот использует https://packages.ubuntu.com/jammy/usbauth .
Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+1 +/–
	Сообщение от Анонн (?), 20-Апр-22, 17:01
	М... так там написано, что уязвимость и по блютус тоже работает. Как тут usbauth поможет?
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от Аноним (23), 20-Апр-22, 20:36
	Очевидно, не подключать через блютуз.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от Аноним (5), 21-Апр-22, 07:11
	и комп из розетки выдернуть.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+1 +/–
	Сообщение от Аноним (17), 20-Апр-22, 17:10
	> при подключении вредоносного устройства ввода можно эмулировать этот самый ввод и через ввод команд сделать что нужно Даже готовые продукты были на рынке прд это дело, с виду флешка, а в ней кроме накопителя минимальный обвес для стимуляции ввода. Закидываешь скрипт.txt, подключаешь и готово. Я так пару десятков биосов как-то раз настраивал, когда Dell облажался и прислал ненастроенные серваки. Но так-то при наличии физического доступа к машине можно много чего сделать. А при физическом доступе к владельцу и подавно. Пальцы в дверь и через минуту хруста все пароли расхэшируются сами собой как по волшебству.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	21. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+1 +/–
	Сообщение от Аноним (11), 20-Апр-22, 19:51
	>Я так пару десятков биосов как-то раз настраивал, когда Dell облажался и прислал ненастроенные серваки. Наверное легче было вручную настроить, чем скрипт отладить?
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от systemdnoname (?), 20-Апр-22, 21:55
	когда у тебя сотни физических серверов - не легче. ВСегда делаю скрипты на что-то больше 0. рекомендую.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от Аноним (31), 21-Апр-22, 00:32
	> обвес для стимуляции ввода Током било и в таком духе?
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	56. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от Аноним (55), 28-Апр-22, 12:05
	Можно usbguard'ом порезать устройства ввода выдающие себя за накопители.
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

16. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
Сообщение от Анонн (?), 20-Апр-22, 17:07
А вообще забавно. "Уязвимости в swhkd", которой пользуются полторы калеки из суси попала в "Главные новости" А эта "Уязвимость в libinput" которая есть ну дофига где, в "мини-новости". Неужели безопасность всех пользователей libinput не достойна "Главной новости"?))
Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	–2 +/–
	Сообщение от Аноним (18), 20-Апр-22, 17:56
	Ну так разжечь то надо. Там руст-хруст, а, следовательно, 100500 комментариев. А тут священная сишечка, да еще и няшный ксорг. Идеологически нельзя допускать даже мысли что первое не так важно как второе.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+3 +/–
	Сообщение от Аноним (20), 20-Апр-22, 19:28
	Суть в том что мегазащищенные хруст с гейландом ничем не лучше сишечки и иксов. Даже хуже, потому как первые не декларируются как "более лучшая замена" вторых, по факту таковыми не являющиеся.
	Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	–2 +/–
Сообщение от Аноним (28), 20-Апр-22, 22:04
Не поленитесь, сходите посмотреть на "исправление". Это ржака: > Return a copy of str with all % converted to %% to make the string * acceptable as printf format. Костыли для языка-инвалида из 70-х.
Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от Аноним (29), 20-Апр-22, 22:49
	Мда... Это просто facepalm какой-то... Для ленивых вот коммит https://gitlab.freedesktop.org/libinput/libinput/-/commit/2a..., функция str_sanitize
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от Аноним (36), 21-Апр-22, 10:53
	https://gitlab.freedesktop.org/libinput/libinput/-/commit/2a... FF запятую в адрес суёт.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от Аноним (37), 21-Апр-22, 11:25
	> FF запятую в адрес суёт. curl тоже, не говоря о links, и даже chromium
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+3 +/–
	Сообщение от uis (ok), 21-Апр-22, 12:57
	> Костыли для языка-инвалида из 70-х. Скорее просто костыли инвалида. Во всех мануалах им пишут "не суй непроверенные данные в формат", а они суют и суют. Настоящие решения: 1) printf("%s", strintg) 2) fwrite(string, strlen(string), 1, stdout)
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	49. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от Аноним (-), 22-Апр-22, 16:00
	Настоящее решение собрать все данные в структуру, которую затем вывести одним printf'ом. То есть сначала собрать, а потом вывести, а не по мере получения данных дописывать строку.
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Уязвимость в libinput, приводящая к выполнению кода при подк..."	+/–
	Сообщение от uis (ok), 27-Апр-22, 09:04
	Сголасен, так лучше. Я это как пример приводил, а то ходят тут непорикаянные джависты^W растоманы
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема