форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в библиотеке Pango"		+/–
Сообщение от opennews on 12-Май-09, 00:47
В библиотеке Pango (http://www.pango.org/), как правило используемой совместно с GTK+ для формирования вывода текста, найдена критическая уязвимость (http://www.ocert.org/advisories/ocert-2009-001.html), позволяющая злоумышленнику выполнить свой код в системе при попытке рендеринга текста со специально скомпонованным набором глифов. Проблема вызвана целочисленным переполнением при расчете размера памяти, выделяемой для хранения глифов. Ошибка устранена в версии Pango 1.24 (http://www.pango.org/Download), выпущенной 16 марта (некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии). Уязвиомость усугубляется тем, что ее можно применить для широкого круга использующих Pango приложений, например, подтверждена возможность удаленной атаки на Firefox, приводящей к отказу в обслуживании при посещении определенным образом оформленной страницы. Посмотреть список связанные с библиотекой Pango программ в Ubuntu Linux можно командой "ap... URL: http://secunia.com/advisories/35021/ Новость: http://www.opennet.me/opennews/art.shtml?num=21690
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Критическая уязвимость в библиотеке Pango"		+1 +/–
Сообщение от Анонима on 12-Май-09, 00:47
>некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии Думаю, это начало конца. Подобное же: http://seclists.org/fulldisclosure/2009/Apr/0080.html Linux 2009 == Microsoft 2002
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от PereresusNeVlezaetBuggy (ok) on 12-Май-09, 01:36
	>>некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии > >Думаю, это начало конца. >Подобное же: http://seclists.org/fulldisclosure/2009/Apr/0080.html >Linux 2009 == Microsoft 2002 Linux не Linux, но отвратительная тенденция налицо :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Критическая уязвимость в библиотеке Pango"		–2 +/–
	Сообщение от pavlinux (ok) on 12-Май-09, 01:48
	А ты неюзай вражеские FS, проснулся... 2.6.29.3 уж на дворе :
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Критическая уязвимость в библиотеке Pango"		+1 +/–
	Сообщение от Анонима on 12-Май-09, 02:12
	смысл не в патчинге (что само по себе хорошо - некоторые даже не патчат годами), а в том, чтобы рассказать сообществу, что данная ошибка опасна.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от pavlinux (ok) on 12-Май-09, 04:22
	Любая ошибка опасная. Была такая давно, перепутали местами ассемблерные инструкции CLI и STI Не помню точно что было, то ли два раза разрешили прерывания, то ли два раза запретили... Вроде отметили как НЕ влияющая на безопасность, но вполне приводящая к зависону. Так вот, время на объяснение как всё это работает ни у кого нет, время на генерацию руткитов - тоже. Вариантов руткитов можно придумать массу, относительно cli/sti-bug, например в спаять вражеское PCI устройство, и выполнять свои действия в не защищенной памяти ядра. И что по-вашему, они обязаны все это рассказывать, как работает, как можно хакнуть... Обнаружили-пофиксили-отписались Тоже была одна бага, по моему на 2.6.20, после разархивирования ядра, каталоги и файлы в них были с правами 660 - как говориться, залезай, исправляй, бэкдоры засажывай... Кто должен следить за правами на Вашем компе??? Торвальдс чтоля?   Ему ваще пофиг - сделал бы 777 и делайте сами как надо.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от szh (ok) on 12-Май-09, 10:03
	> Обнаружили-пофиксили-отписались Не отписались. > Так вот, время на объяснение как всё это работает ни у кого нет, никто не просил обьяснений как это всё работает. > время на генерацию руткитов - тоже. Всегда есть время у тех кому это надо. Весь остальной твой текст - оффтопик эмоций.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от User294 (??) on 12-Май-09, 07:26
	>А ты неюзай вражеские FS, проснулся... 2.6.29.3 уж на дворе : А как FS и какие-то там ядра вообще относятся к панге?Панга - кроссплатформенная либа, которая есть в куче всяких мест и без всяких линуксовых ядер.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от User294 (??) on 12-Май-09, 07:21
	>Думаю, это начало конца. Это что, просьба проспонсировать веревку и мыло? oO > Linux 2009 == Microsoft 2002 А при чем тут линукс? Эта либа используется в огромной куче систем. В *вашей* скорее всего она тоже есть. Хотя если вы только в консольке сидите - тогда может и нет за ненадобностью. А так - используется кучей программ в разных системах. К линуксу эта либа привязана не более чем например zlib.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Критическая уязвимость в библиотеке Pango"		+/–
Сообщение от кдпзу on 12-Май-09, 01:22
//некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии спасибо, это нам уже знакомо
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от User294 (??) on 12-Май-09, 07:29
	>спасибо, это нам уже знакомо Ну вы можете поставить себе например антикварный zlib а мы вас сплойтом жахнем.Не хотите?И кстати куда предлагаете бежать?Обратно на проприетарщину?Или сидеть в MS-DOS?А то это панго используется такой кучей программ что найти систему с гуем где оно бы не использовалось - еще постараться надо.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от Аноним (??) on 12-Май-09, 08:41
	> А то это панго используется такой кучей программ Не так уж и много таких программ.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	33. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от User294 (??) on 12-Май-09, 22:05
	>Не так уж и много таких программ. Хаксорам в принципе хватит одной.Уже забыли что было с zlib?Я знаю немало случаев взлома [чего угодно] на разных системах через дырявый zlib.Особенно "здорово" было ессно виндузятникам где все проги таскают с собой zlib'у  самолично а потому никто ее в половине софта ессно не заапдейтил, так что наверное и по сей день в виндах можно кучу софта с древней злибой сплойтом отоварить если задаться целью.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от uldus (ok) on 12-Май-09, 08:56
	>//некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения >исправленной версии > >спасибо, это нам уже знакомо Не путайте с ситуацией, когда о дыре уже давно раструбили в неофициальных рассылках безопасности, но разработчики дырявой программы ее скрывают или представляют как незначительную, или когда нашедший дыру натыкается на высокомерие и игнорирование со стороны разработчиков. В случае с Pango о проблеме не знал никто посторонний, только тот кто нашел дыру и разработчики библиотеки.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	36. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от AlexanderYT on 13-Май-09, 13:38
	> В случае с Pango о проблеме не знал никто >посторонний, только тот кто нашел дыру и разработчики библиотеки. свечку держали?)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	38. "Критическая уязвимость в библиотеке Pango"		+1 +/–
	Сообщение от uldus (ok) on 13-Май-09, 14:08
	>> В случае с Pango о проблеме не знал никто >>посторонний, только тот кто нашел дыру и разработчики библиотеки. > >свечку держали?) Вы не верите слову Will Drewry из Google Security Team ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	39. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от AlexanderYT on 14-Май-09, 10:21
	Я словам не верю. Только фактам.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Критическая уязвимость в библиотеке Pango"		+1 +/–
Сообщение от Аноним (??) on 12-Май-09, 02:36
Я вот такой наивный, но кто мне может объяснить, почему нельзя говорить об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец в области безопасности, ты эту уязвимость найдёшь, в противном случаи - ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления. Не дело конечно, объявлять почти через месяц после обнаружения (а тут даже после исправления) об уязвимости, но и не дело выдавать почти всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для хранения глифов).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от Аноним (??) on 12-Май-09, 02:41
	С месяцем конечно же ошибся, не так новость прочитал, но сути это не меняет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от Logo (ok) on 12-Май-09, 02:51
	>[оверквотинг удален] >об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена >уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё >равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец >в области безопасности, ты эту уязвимость найдёшь, в противном случаи - >ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя >не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления. >Не дело конечно, объявлять почти через месяц после обнаружения (а тут >даже после исправления) об уязвимости, но и не дело выдавать почти >всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для >хранения глифов). Видимо не говорили, так, как постоянно встречались непонятные ситуации с разными программами под GTK и одного намека было бы достаточно, где копать. Я только сейчас и понял, почему у меня разработки под GTK глючили. Под QT работает, под GTK-2 сбоит, пока не перешел на Mandriva 2009.1, а в ней Pango 1.24.1. Все нормально. Я считаю, что верно поступили, мгло бы быть очень плохо.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от zuborg on 12-Май-09, 11:08
	>[оверквотинг удален] >об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена >уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё >равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец >в области безопасности, ты эту уязвимость найдёшь, в противном случаи - >ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя >не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления. >Не дело конечно, объявлять почти через месяц после обнаружения (а тут >даже после исправления) об уязвимости, но и не дело выдавать почти >всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для >хранения глифов). Нет смысла просто. В мире opensource практически невозможно скрыть информацию о месте и виде исправления - эта информация буквально в открытом виде лежит внутри патча (если патча нет то можно проанализировать diff старой и новой версии). Даже бинарные заплатки Microsoft-а умудряются анализировать и реализовали метод автоматической! генерации експлойтов для исправляемых уязвимостей.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от Аноним (??) on 12-Май-09, 15:09
	>Нет смысла просто. и >внутри патча (если патча нет то можно проанализировать diff старой и новой версии Взаимоисключающие параграфы. Когда есть дифф - есть обновлённая версия, где этой уязвимости уже нет, кто не обновился, то сам себе злобная длинноносая деревянная кукла.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Критическая уязвимость в библиотеке Pango"		+/–
Сообщение от Eugeni (??) on 12-Май-09, 04:18
Это вообщето нормальная практика для уязвимостей (гуглим на тему oss-security embargo date).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от User294 (??) on 12-Май-09, 07:35
	>Это вообщето нормальная практика для уязвимостей (гуглим на тему oss-security embargo date). Это достаточно нормальная практика для критичных уязвимостей в кроссплатформенной либе которая настолько широко используется что есть в весьма многих системах(много кроссплатформенного софта под разными ОС юзает эту либу т.к. она умеет дофига всего).Было бы лучше если бы школьники начали глушить 0-day сплойтами все вокруг?Хуже от того что уязвимость придержали разве что таким вот школьникам - найти дыру и сплойт сделать им самим слабо.Вот наверное и бухтят - халявы для них не вышло, видите ли.Хотя сам факт что есть дыра без указания деталей можно было бы и сообщить вообще-то.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Критическая уязвимость в библиотеке Pango"		+/–
Сообщение от Alen (??) on 12-Май-09, 10:28
#emerge --sync;emerge -pv pango These are the packages that would be merged, in order: Calculating dependencies... done! [ebuild   R   ] x11-libs/pango-1.22.4  USE="X -debug -doc" 0 kB Бесполезно - пока гром не грянет никто креститься не будет! :) в стабильной ветке дырявая панга :) По этому сообщения об отверстиях, имхо, надо выкладывать сразу после появления фиксеной версии и никого более не ждать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от Аноним (??) on 12-Май-09, 10:41
	Чё-то portage как всегда тормозит с секьюрными обновлениями.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Критическая уязвимость в библиотеке Pango"		+/–
Сообщение от charon (ok) on 12-Май-09, 10:53
в Федоре 10 баг до сих пор не исправлен, старый Pango стоит
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Критическая уязвимость в библиотеке Pango"		+/–
Сообщение от NegatiV (ok) on 12-Май-09, 11:44
Debian уже пару дней как выпустил патч
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Критическая уязвимость в библиотеке Pango"		+/–
Сообщение от Loafer (ok) on 12-Май-09, 12:20
Хе, чуть что не так, так сразу "а причём здесь Linux" и глазки такие красненькие смотрят как на новые ворота :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от Alen (??) on 12-Май-09, 13:06
	pango-1.24.1 (04 May 2009) Нет, в portage, ebuild с фиксеной версией появился еще 4 мая, только что то тянут с переводом в стабильную ветку. ЗЫ а по поводу красных глаз, на зеркало обижайтесь :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	35. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от User294 (??) on 13-Май-09, 08:24
	>что то тянут с переводом в стабильную ветку. А банальные убунтуйцы опять все вовремя заапдейтили и юзерам раздали...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от www (??) on 12-Май-09, 18:13
	http://www.driverskit.com/dll/libpango-1.0-0.dll/1705.html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	34. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от User294 (??) on 12-Май-09, 22:11
	>Хе, чуть что не так, так сразу "а причём здесь Linux" А линуксы сами по себе никак не относятся к сторонним библиотекам.А хотя-бы и популярным настолько чтобы нередко встречаться в оных. И кстати виндузятникам как всегда хуже всех придется.В пингвине мне апдейтер заменит одну либу, качнув небольшой пакет только с этой либой и все.А вот в винде придется искать ВСЕ юзающие эту либу проги САМОЛИЧНО! И опять же САМОЛИЧНО их все апдейтить, надеясь что их авторы не дятлы и проапдейтили используемую либу в новых версиях программ... В итоге - пингвины и прочие подобные с нормальными системами управления пакетами на голову впереди "прогрессивного" человечества типа виндузятников.Ну вон MS попытался содрать su+sudo в виде UAC.Получилось хреново, хоть и приподняло безопасность.Лет через 10 наверное попытаются и свои репы поднять.Как всегда - горбато и убого, с массой ограничений, неудобств и бестолковостей, разумеется.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	37. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от AlexanderYT on 13-Май-09, 13:46
	Вообще говоря, можно сказать Лисе не использовать pango. Что собственно у меня и сделано, т.к. после этого Лиса по шустрее будет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	40. "Критическая уязвимость в библиотеке Pango"		+/–
	Сообщение от User294 (??) on 15-Май-09, 17:17
	>Вообще говоря, можно сказать Лисе не использовать pango Я думаю что далеко не только лис оной пользуется.В зависимостях пакетов сия либа светится часто и много ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]