The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в библиотеке libgsf, затрагивающая GNOME"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от opennews (?), 07-Окт-24, 09:42 
В библиотеке libgsf, развиваемой проектом GNOME, выявлена уязвимость (CVE-2024-42415), которая может привести к выполнению кода при обработке специально оформленного файла. Уязвимость вызвана целочисленным переполнением, приводящим к записи данных за пределы выделенного буфера при обработке таблицы распределения секторов в процессе разбора параметров из заголовка файлов в формате CDF (Compound Document Format)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=62006

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +2 +/
Сообщение от Аноним (-), 07-Окт-24, 09:50 
Круто!
Можно даже файл не открывать, достаточно просто скачать.
Вот она, надежность))

А про саму дырень даже писать ничего не хочу.
И так всё понятно...

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +1 +/
Сообщение от iPony129412 (?), 07-Окт-24, 09:51 
Никогда такого не было, и вот опять.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  –2 +/
Сообщение от Аноним (25), 07-Окт-24, 12:22 
И ведь хомусы продолжают настойчиво юзать гноме даже при том что этот гуй в принципе неюзабелен баз дизайн. Хомам главное гипножабу показать что вы будете совершенно счастливыми и всё они рады. Отроки во вселенной пророческий фильм.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (25), 07-Окт-24, 12:20 
Ну а ты думаешь почему гноме продвигают из всех доступных щелей? И со всеми кто против гноме потом приключаются разные проблемы?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

26. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Nv (?), 07-Окт-24, 12:46 
Alt+g и вперед
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +3 +/
Сообщение от какая разница (?), 07-Окт-24, 14:56 
А где надёжность? В крысе, кедах, мяте?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

49. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (-), 08-Окт-24, 11:59 
> А где надёжность? В крысе, кедах, мяте?

Нигде. У них у всех один первородный дефект, так сказать.
Вся надежда на некоторые новые ДЕ. Где научатся не писать за пределы буфера.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +4 +/
Сообщение от Аноним (4), 07-Окт-24, 10:29 
А в LXQt и XFCE нет подобного шлака. Чем больше шлака - тем больше уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +1 +/
Сообщение от iPony129412 (?), 07-Окт-24, 10:38 
не, чем меньше популрность, тем меньше уязвимостей

приницп Джо работает

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (18), 07-Окт-24, 11:07 
ну да, а кто будет тратить силы по пропихиванию бекдоров в системы которыми никто не пользуется?
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +2 +/
Сообщение от zalupa (?), 07-Окт-24, 10:41 
Ага, конечно! Linux Mint 22 XFCE - библиотека присутствует!
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

10. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (4), 07-Окт-24, 10:48 
То, что она присутствует, не значит что она используется. В дебиано-убунтах кое-какие пакеты тащутся по зависимостях и не используются.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от iPony129412 (?), 07-Окт-24, 10:51 
Вот советуют, как отключить превьюшки для офисных документов

https://forum.xfce.org/viewtopic.php?id=15972

Правильно, удалив один пакет

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (21), 07-Окт-24, 11:21 
Просто нужно отключать в ПМ установку рекомендованных пакетов, и тогда ничего не будет тащиться.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

16. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +2 +/
Сообщение от Аноним (16), 07-Окт-24, 11:04 
А вообще без гуя ещё меньше "шлака". Бросайте вы эти LXQt и XFCE.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

22. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  –1 +/
Сообщение от Аноним (4), 07-Окт-24, 11:29 
Ну вообще, LXQt и LXDE самые минимальные DE с минимумом шлака. Особенно, если ставить с --no-install-recommends.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (27), 07-Окт-24, 12:56 
Не, идеологически-то аноним прав. WM лучше, чем DE, а лучше всего просто Emacs запустить на весь экран, уведомления получать в sauron, а окнами управлять через exwm.

Единственное, я только не знаю, как системный трей в exwm сделать.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (31), 07-Окт-24, 14:17 
Lubuntu 18.04 вот что пишет:

> # tracker reset --hard
> Command 'tracker' not found, but can be installed with:
> apt install tracker

Хорошо, что я не обновляюсь.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

11. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  –1 +/
Сообщение от oditynetemail (?), 07-Окт-24, 10:48 
Странно,но почему у меня tracker выключен уже как год? Может потому что я изучаю систему, а не пишу **** вида "А про саму дырень даже писать ничего не хочу.
И так всё понятно... "
Сайт офигенный?но комментаторы как были дном в 2015 году? так и остались . Мало кто что-то свое создал, но написать ерунду может каждый
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (-), 07-Окт-24, 10:57 
> Может потому что я изучаю систему

А потом у тебя абсолютно аналогичная дырень будет в другом компоненте.
Или софтине. Или вообще в ядре.
И это повторяется из года в год уже лет тридцать.
Поэтому и так всё понятно.

> Мало кто что-то свое создал

Разве нужно быть шеф-поваром чтобы понять что еда тухляк?

> но написать ерунду может каждый

Так и пишут. А потом там дырени находят.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +1 +/
Сообщение от Аноним (18), 07-Окт-24, 11:05 
> Странно,но почему у меня tracker выключен уже как год?

странно, что ты еще смог его выключить :)

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

20. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +2 +/
Сообщение от oditynetemail (?), 07-Окт-24, 11:11 
arch - это правильный выбор. ))
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Black_Kot (ok), 08-Окт-24, 03:49 
Gentoo - это правильный выбор.
Вообще этот tracker и libgsf не установлены, потому что лишние зависимости отключены попросту.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (33), 07-Окт-24, 14:24 
Полагаю, те, кто так пишут, как раз и создали, поэтому прекрасно знают, о чём говорят.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

28. Скрыто модератором  +/
Сообщение от Аноним (-), 07-Окт-24, 13:06 
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (29), 07-Окт-24, 13:52 
О! Как раз почти год с прошлой дырени в гномовом tracker CVE-2023-43641
https://www.opennet.me/opennews/art.shtml?num=59896

P.S. В Debian имена сервис файлов для маскирования с суффиксом "-3".

$ apt-file search /usr/lib/systemd/user/tracker
tracker: /usr/lib/systemd/user/tracker-xdg-portal-3.service
tracker-extract: /usr/lib/systemd/user/tracker-writeback-3.service
tracker-miner-fs: /usr/lib/systemd/user/tracker-miner-fs-3.service
tracker-miner-fs: /usr/lib/systemd/user/tracker-miner-fs-control-3.service

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (30), 07-Окт-24, 14:04 
> Опасность состоит в том, что использующий libgsf сервис GNOME автоматически индексирует и разбирает все файлы в домашнем каталоге без каких-либо действий со стороны пользователя.

Всегда интересовало: а что именно подразумевается под всем этим "индексирует"? И как можно воспользоваться результатами этой "индексации"? Никто не разбирался?

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от какая разница (?), 07-Окт-24, 14:55 
Ты что-то скачал, система "записала" его данные в конфиги и "написала" где этот файл в системе.
Так понятно?
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (30), 07-Окт-24, 15:55 
>Так понятно?

Нет.
 
Какого рода данные по этим файлам "система записала в конфиги"? Какую-то метаинформацию по файлам известных форматов (например: картинка png, 640*480, 32 бита), вхождение слов/фраз в теле/заголовках? Как потом это пользователю использовать? Поиск: "квартальный отчёт 2023" - пойдёт, "картинка с вазой" - вряд ли найдёт.

Как-то не очень функционально всё выглядит: либо для забывчевых, либо у кого бардак в файлах. Зачем подобное включать всем - непонятно.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +1 +/
Сообщение от Данные в поле Name (?), 07-Окт-24, 16:58 
Даже банальный поиск по названию файла требует индексации, чтобы не читать весь диск на каждый поиск. В Nautilus ещё как минимум есть фильтрация по типу файла и поиск в поддиректориях, это тоже требует индексации.
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (46), 07-Окт-24, 21:33 
> Даже банальный поиск по названию файла требует индексации, чтобы не читать весь
> диск на каждый поиск.

Для этого у нас уже 100 лет (смотрит в заголовок сорца: ладно, не 100 а лишь 35) как есть locate. Чего оно умеет "больше" и лучше?

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (30), 07-Окт-24, 22:43 
Если делать поиск по всему диску, то такая индексация, действительно, может быть полезной. Но после пары подобных поисков уже начинаешь более точно указывать, где искать. И тогда всё не так страшно: файловые системы всё-таки оптимизированы под перебор содержимого каталогов + разного рода кэширование + ssd. А поиск/фильтрация по типу файла без привязки к файловым расширениям - это да, без какой-нибудь индексации будет тяжко. OK, принимается.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

32. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +1 +/
Сообщение от Аноним (31), 07-Окт-24, 14:21 
> использующий libgsf сервис GNOME автоматически индексирует и разбирает все файлы в домашнем каталоге без каких-либо действий со стороны пользователя

Вон куда метят! "Домашний каталог". "Без действий пользователя".
Spyware в чистом виде.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от какая разница (?), 07-Окт-24, 14:52 
Я тебя огорчу, но это просто индексация файлов..
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (41), 07-Окт-24, 16:15 
Огорошу вас. В Кедах тип файла идентифицируется не по расширению, а по заголовку. Отключить это никак нельзя. Так что даже если тебе кинут файл 0001.download.tmp, то кеды его всё равно откроют для создания миниатюр. И для индексации тоже.
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в библиотеке libgsf, затрагивающая GNOME"  +/
Сообщение от Аноним (45), 07-Окт-24, 19:44 
Tracker - гадость
https://gist.github.com/vancluever/d34b41eb77e6d077887c
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру