The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление X.Org Server 21.1.7 с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от opennews (??), 07-Фев-23, 11:01 
Доступен корректирующий выпуск X.Org Server 21.1.7, в котором устранена уязвимость (CVE-2023-0494), позволяющая поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58612

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –3 +/
Сообщение от Аноним (1), 07-Фев-23, 11:01 
Никогда такого не было и вот опять.
Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +18 +/
Сообщение от Вечно недовольный аноним (?), 07-Фев-23, 11:07 
Это выражение набило оскомину, прошу больше его не использовать.
Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –1 +/
Сообщение от Аноним (12), 07-Фев-23, 11:14 
"Пасеку, пасеку тушите!!". Пойдёт?
Ответить | Правка | Наверх | Cообщить модератору

43. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (43), 07-Фев-23, 12:32 
"Мэбел, мэбэл вынаси!"
Ответить | Правка | Наверх | Cообщить модератору

44. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от zezic (?), 07-Фев-23, 12:48 
Пойдёт.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

141. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Андрей (??), 08-Фев-23, 07:21 
Пишут непойми что, ощущение что под воздействием наркоты или есчо чего-то. Читаешь и понимаешь что пишут бред, никак не связанный с темой.
Ответить | Правка | Наверх | Cообщить модератору

144. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (144), 09-Фев-23, 11:01 
"есчо" связано с темой? Всей республике и за границами нашей родины давно ясно, что слонёнок выпустил газ, но малэнько-малэнько. )
И этим людям доверяют ИТ критичных объектов?😁
https://i.imgur.com/UwwYI0o.png
Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (17), 07-Фев-23, 11:18 
Тем более его тут в 99% случаях используют с потерей изначального смысла.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

108. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +1 +/
Сообщение от Илья (??), 07-Фев-23, 18:51 
А какой был изначальный смысл?

Попытка обращения к элементу массива за его пределами?

Или двойное освобождение памяти?

Чего там ещё в плюсах есть

Ответить | Правка | Наверх | Cообщить модератору

110. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Анонн (?), 07-Фев-23, 19:06 
NULL Pointer Dereference
Signed to Unsigned Conversion Error
Unsigned to Signed Conversion Error
Use of Uninitialized Variable
Use of sizeof() on a Pointer Type

Да куча их, считать не пересчитать

Ответить | Правка | Наверх | Cообщить модератору

47. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –2 +/
Сообщение от Аноним (47), 07-Фев-23, 13:46 
Уж сколько раз твердили миру, чего только не сделают, лишь бы не будем попробовать новые модные, молодёжные выражения.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

56. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от annon (?), 07-Фев-23, 14:41 
молодежные? да ему уже сколько лет, да еще и старпером сказано было
Ответить | Правка | Наверх | Cообщить модератору

61. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –2 +/
Сообщение от Аноним (61), 07-Фев-23, 15:38 
>Это выражение набило оскомину

от слова совсем?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

62. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (62), 07-Фев-23, 15:39 
Это выражение нетолерантно, оно оскорбляет сишников.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

3. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –1 +/
Сообщение от ryoken (ok), 07-Фев-23, 11:02 
Кто-то прошляпил..?
Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Анонимemail (34), 07-Фев-23, 11:49 
Проще оставить ссылку: https://blog.invisiblethings.org/2011/04/23/linux-security-c...
Ответить | Правка | Наверх | Cообщить модератору

65. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –1 +/
Сообщение от Аноним (65), 07-Фев-23, 16:06 
Прошляпил тот, кто пишет такие вещи на CVE-languages, а потом вопит про смузи. Прошляпил вообще всё в этой жизни.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (5), 07-Фев-23, 11:03 
> https://security-tracker.debian.org/tracker/CVE-2023-0494

это что получается, только в старом deb10 уязвимость исправлена на данный момент?

Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (1), 07-Фев-23, 11:06 
$ eix xorg-server -c
  x11-base/xorg-server (21.1.7(0/21.1.7){xpak}@02/07/23): X.Org X servers
Ответить | Правка | Наверх | Cообщить модератору

139. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –1 +/
Сообщение от Аноним (139), 08-Фев-23, 04:27 
В Openbsd ночью патчи прилетели.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

7. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (7), 07-Фев-23, 11:05 
Ждем таких же новостей про wayland
Ответить | Правка | Наверх | Cообщить модератору

60. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +6 +/
Сообщение от Аноним (60), 07-Фев-23, 15:27 
А он уже что-то умеет кроме как запускать себя?
Ответить | Правка | Наверх | Cообщить модератору

63. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –1 +/
Сообщение от Аноним (65), 07-Фев-23, 15:53 
Ну на нём как минимум несколько дистрибов по умолчанию.

inb4: врëти

Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +3 +/
Сообщение от Аноним (11), 07-Фев-23, 11:08 
> если для доступа используется перенаправление сеанса X11 при помощи SSH.

Так вот почему говорили, что это преимущество иксов перед Wayland.

> Уязвимость возникла из-за пропущенной фигурной скобки в выражении "else {

Классика жанра. Жаль, что нельзя ретроактивно запретить в языке без скобок писать if-else ветви.

Ответить | Правка | Наверх | Cообщить модератору

50. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –2 +/
Сообщение от zog (??), 07-Фев-23, 13:52 
А зачем лишние скобки в конструкции типа else if () {}
Ответить | Правка | Наверх | Cообщить модератору

51. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +3 +/
Сообщение от Вы забыли заполнить поле Name (?), 07-Фев-23, 14:07 
> запретить в языке без скобок писать if-else ветви.

Clang-tidy в помощь

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

22. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +4 +/
Сообщение от ИмяХ (?), 07-Фев-23, 11:22 
>>поднять свои привилегии в системе, если X-сервер выполняется с правами root

Опять рут взломал сам себя

Ответить | Правка | Наверх | Cообщить модератору

58. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +3 +/
Сообщение от Анонимусс (?), 07-Фев-23, 15:00 
А где второй кусок предложения из новости?
> или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH.

Как же удобно удобно читать только то, что хочешь увидеть, да?

Ответить | Правка | Наверх | Cообщить модератору

25. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +3 +/
Сообщение от хрю (?), 07-Фев-23, 11:27 
>>Уязвимость возникла из-за пропущенной фигурной скобки в выражении "else {"

что-то как-то звучит как не правда. Оно бы не скомпилировалось. Там забыли обнулить указатель, это да. Но не просто "скобку пропустили":

        -else
        +else {
             free(to->button->xkb_acts);
        +    to->button->xkb_acts = NULL;
        +}

Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (33), 07-Фев-23, 11:44 
Ну, вообще то можно без фигурных скобок делать выражения аля
    if (0 >= foo)
        foo_gahtermore();
    else
        foo_eatone();

Сорян если и так знали, просто сложилось впечатление, что вы про это не знали.

Ответить | Правка | Наверх | Cообщить модератору

67. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +1 +/
Сообщение от ihatenpm (?), 07-Фев-23, 16:25 
в MISRA C это не рекомендуется
Ответить | Правка | Наверх | Cообщить модератору

74. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от анон (?), 07-Фев-23, 17:20 
но не запрещено -> никто кроме ревьювера твоего кода не сможет остановить попадание этого безобразия в проект
Ответить | Правка | Наверх | Cообщить модератору

140. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –1 +/
Сообщение от Аноним (139), 08-Фев-23, 04:31 
"Обнуление указателей -- это глупость".

Баг не в незанулении указателя, а в double-free.

Если его не занулять, то иногда он будет крашиться, что поможет баг найти, с нулевым же указателем этого не найти никогда.

Более того, есть системы, на который нулевой указатель -- валидный адрес.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

45. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –5 +/
Сообщение от Анонн (?), 07-Фев-23, 13:36 
Какая прелесть.
Просто забыли занулить, не, ну чо, бывает.
И получили RCE. Но тоже норм.
Жалко не написали сколько лет она там жила.
Ответить | Правка | Наверх | Cообщить модератору

111. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Вы забыли заполнить поле Name (?), 07-Фев-23, 19:49 
Пишешь из под X'ов поди?
Ответить | Правка | Наверх | Cообщить модератору

64. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (65), 07-Фев-23, 16:00 
Что-то какой-то слабый вой от адептов CVE-languages. Зато в новостях о расте все смелые такие.
Ответить | Правка | Наверх | Cообщить модератору

66. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +2 +/
Сообщение от Аноним (66), 07-Фев-23, 16:12 
Не надо серьезно рассматривать Xorg как оплот безопасности и надежности. Само собой тут никто не воет, от него уже давно никто ничего не ждет
Ответить | Правка | Наверх | Cообщить модератору

120. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (65), 07-Фев-23, 21:06 
Доо, зато все остальные проекты на сишке и плюсишке просто оплот rock stable.
Ответить | Правка | Наверх | Cообщить модератору

136. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от maximnik0 (?), 08-Фев-23, 00:20 
>Доо, зато все остальные проекты на сишке и плюсишке просто оплот rock stable.

От языка не зависит сэр.От логических ошибок,рассенхронизации и т.д очень трудно избавиться и от языка это не зависит .А даже на Си можно писать безопасные программы если аппаратура ЭВМ имеет аппаратную защиту стэка и памяти.Почитайте сколько ошибок было выявлено при переносе Си шных программ на Burrought Large System.Бабоян честно говоря не совсем искренен когда называл Эльбрус с аппаратной защитой не имеющей аналагов- в барроус используется "потенциальная адресация" -указатели заменяются специально защищёнными объектами (аппаратные атрибуты).У нас не любят вспоминать про эту ЭВМ по одной причине-её разрешили поставить для нефтянки во времена холодной войны официально на гарантии правительства не использовать в военном секторе.(почитайте архитектуру и сравните с не имеющими аналогов Эльбрусе 1-3 (не последний который на сверхдлиннем слове) и задумайтесь,кроме конвейера все слизано.)

Ответить | Правка | Наверх | Cообщить модератору

68. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +1 +/
Сообщение от ihatenpm (?), 07-Фев-23, 16:27 
Вы уже вылезли из скорлупы и из-под курицы и уже написали свой граф сервер, драйвера, ядра ОС, библиотеки?
Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

71. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  –1 +/
Сообщение от Аноним (71), 07-Фев-23, 16:40 
Очевидно потому что от фанатиков тоже слабый вой и отвечать не на что.
Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

77. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от ihatenpm (?), 07-Фев-23, 17:26 
странное явление, преувеличивать то, чего нет - фанатизм, а то, чего есть -- называть фанатизмом. это вялотекущая шиза
Ответить | Правка | Наверх | Cообщить модератору

94. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (94), 07-Фев-23, 18:12 
А вот высокое искусство
https://www.youtube.com/embed/AkWXXGe49cw

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

95. Скрыто модератором  +1 +/
Сообщение от Аноним (95), 07-Фев-23, 18:18 
Ответить | Правка | Наверх | Cообщить модератору

96. Скрыто модератором  –1 +/
Сообщение от Аноним (-), 07-Фев-23, 18:19 
Ответить | Правка | Наверх | Cообщить модератору

102. Скрыто модератором  +3 +/
Сообщение от ihatenpm (?), 07-Фев-23, 18:27 
Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

104. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 07-Фев-23, 18:38 
Ответить | Правка | Наверх | Cообщить модератору

113. Скрыто модератором  +1 +/
Сообщение от Вы забыли заполнить поле Name (?), 07-Фев-23, 19:51 
Ответить | Правка | Наверх | Cообщить модератору

115. Скрыто модератором  +/
Сообщение от Анонн (?), 07-Фев-23, 20:05 
Ответить | Правка | Наверх | Cообщить модератору

128. Скрыто модератором  +/
Сообщение от Вы забыли заполнить поле Name (?), 07-Фев-23, 21:25 
Ответить | Правка | Наверх | Cообщить модератору

122. Скрыто модератором  –1 +/
Сообщение от Вы забыли заполнить поле Name (?), 07-Фев-23, 21:12 
Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

127. Скрыто модератором  –1 +/
Сообщение от ihatenpm (?), 07-Фев-23, 21:23 
Ответить | Правка | Наверх | Cообщить модератору

138. "Обновление X.Org Server 21.1.7 с устранением уязвимости"  +/
Сообщение от Аноним (138), 08-Фев-23, 03:48 
> разработчики забыли

Коллективная потеря памяти.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру