Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в libinput, позволяющая повысить свои привилегии в системе"	+/–
Сообщение от opennews (??), 04-Июн-26, 10:37
В библиотеке libinput, предоставляющей унифицированный стек ввода для Wayland и X.Org Server, выявлена уязвимость (CVE не назначен), позволяющая добиться выполнения кода с правами root через подключение локальным пользователем виртуального устройства ввода, сэмулированного в пользовательском пространстве через uinput или uhid. Проблема устранена в выпусках 1.31.3 и 1.30.4... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65615
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 04-Июн-26, 10:37	+8 +/–
есть такая старая уязвимость "cat /dev/zero > /dev/sda" Но для этого надо быть уже root
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #19

5. Сообщение от Аноним (20), 04-Июн-26, 10:48	–1 +/–
Вот вам и вейланд.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #12, #76

7. Сообщение от Аноним (7), 04-Июн-26, 11:05	+/–
В Иксах тоже, но для последнего юзал xf86-input-evdev.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

12. Сообщение от q (ok), 04-Июн-26, 11:40	–5 +/–
Вот вам и привычка Дидов™ изобретать каждый раз новый местечковый формат для 'ключ = значение' вместо устоявшихся JSON, YAML, TOML, да хоть бы и XML. Да вообще все что угодно подойдет -- форматов как собак нерезанных. Но нет. Надо изобрести свое. Местечковое. Ни с чем не совместимое. Нихрена не стандартизированное. Чтобы любой случайно залетевший дятел все уронил. Диды™.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16, #23, #89

16. Сообщение от Аноним (16), 04-Июн-26, 11:48	+/–
Точно. Ведь ничего плохого например с json никогда не происходит https://seriot.ch/security/parsing_json.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #33, #91

18. Сообщение от Аноним (18), 04-Июн-26, 11:52	+1 +/–
> в некоторых дистрибутивах поставляются udev-правила, позволяющие непривилегированным пользователям использовать uinput. Например, в Fedora подобные правила выставляются при установке пакетов steam-devices, antimicrox и kdeconnectd Если по умолчанию уязвимости нету, её создадут в RH.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

19. Сообщение от Аноним (18), 04-Июн-26, 11:59	+1 +/–
"... позволяющие непривилегированным пользователям использовать uinput. Например, в Fedora подобные правила выставляются при установке пакетов steam-devices, antimicrox и kdeconnectd ..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #20

20. Сообщение от Аноним (20), 04-Июн-26, 12:02	+/–
Иначе гейпады и много чего ещё работать не будут. Ну, работать может и будут, но не у пользователя без прав. Это в иксах можно было изолировать пользователя, в вейланде такой изоляции нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #27, #34

21. Сообщение от Аноним (21), 04-Июн-26, 12:03	+/–
я посмотрел git blame, автор дыры `Jason Gerecke committed Jul 30, 2019`, наверное стоит посмотреть его остальные коммиты
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #72

23. Сообщение от Мемоним (?), 04-Июн-26, 12:04	+4 +/–
> изобретать каждый раз новый местечковый формат Unix-way же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

27. Сообщение от Аноним (-), 04-Июн-26, 12:20	+2 +/–
> Это в иксах можно было изолировать пользователя расскажи пожалуйста, как это сделать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #29

29. Сообщение от Аноним (20), 04-Июн-26, 12:26	+2 +/–
Просто не добавляешь пользователя в расширенные группы, чтобы у него не было прав копаться в ядре. Иксы будут работать полноценно -- у них есть все права.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

31. Сообщение от жявамэн (ok), 04-Июн-26, 12:27	+4 +/–
о в луникс опять можно зайти под рутом введя пустой пароль или зажав 1 кнопку?
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Аноним (-), 04-Июн-26, 12:28	+4 +/–
> наверное стоит посмотреть его остальные коммиты не забудь рассказать нам, когда посмотришь, что нашел
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

33. Сообщение от q (ok), 04-Июн-26, 12:38	+/–
А ты чего на json остановился? Продолжай дальнейший гуглёж: "yaml разоблачение смотреть на ютуб", "уязвимости toml полный список скачать", "почему xml это плохо"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #37

34. Сообщение от Аноним (-), 04-Июн-26, 12:38	+/–
> Просто не добавляешь пользователя в расширенные группы, чтобы у него не было прав копаться в ядре. Иксы будут работать полноценно -- у них есть все права. ну то есть прямо как в вайланде?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #35

35. Сообщение от Аноним (20), 04-Июн-26, 12:43	+/–
Нет, в вейланде у тебя без добавления всех пользователей во все группы ничего работать не будет. Лично у меня ещё регулярно отваливаются права на клавиатуру и мышь во время работы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #36

36. Сообщение от Аноним (-), 04-Июн-26, 12:52	–1 +/–
> Нет, в вейланде у тебя без добавления всех пользователей во все группы ничего работать не будет. у меня в системе 83 группы, пользователь состоит в 3х - в своей, в wheel и render это сообщение написано из кодое 6 вайланд > Лично у меня ещё регулярно отваливаются права на клавиатуру и мышь во время работы это какие такие права? где их посмотреть? перечисли все пожалуйста, а то вдруг у меня тоже мышь с клавиатурой не работает, а я и не знаю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #42, #79

37. Сообщение от Аноним (37), 04-Июн-26, 13:00	+/–
> А ты чего на json остановился? продолжаем, xml вообще выкинули из хрома.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

42. Сообщение от Аноним (20), 04-Июн-26, 13:22	+2 +/–
Удали системд для начала, поймёшь, в чём дело. А так заменили иксы с рутом на системд с рутом, костыли. Если у тебя не будут работать клавиатура с мышей в вейланде, тебе придётся выдёргивать пк из розетки, ты это точно заметишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #44, #48

44. Сообщение от Аноним (-), 04-Июн-26, 13:27	+/–
> Удали системд для начала зачем? чтобы что? > поймёшь, в чём дело ну теперь понимаю да, не надо пользоваться маргинальными поделками типа sysvinit и openrc, и все будет работать > А так заменили иксы с рутом на системд с рутом, костыли я даже не знаю, а под каким пользователем должен работать системд, чтобы иметь возможность делать то, что ему должно делать > Если у тебя не будут работать клавиатура с мышей в вейланде то иксы я даже пробовать не буду, просто перезагружусь в ОС, в которой нет таких проблем > ты это точно заметишь пока что я заметил, что линуксоиды очень любят создавать себе проблемы из ничего
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #46

46. Сообщение от Аноним (20), 04-Июн-26, 13:45	+/–
Ну в иксах ты можешь вызвать qdbus6 org.kde.KWin /KWin org.kde.KWin.showDebugConsole и не потерять клавиатуру с мышью. А в вейланде что-нибудь такое постоянно случается. Или переключение окон начинает переключать фокус не в те окна и ты вообще ничего не можешь сделать никак без перезапуска. Несколько раз уже было на вейланде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #53

48. Сообщение от aname (ok), 04-Июн-26, 13:48	+/–
Т.е. с systemd проблема не воспроизводится. Теперь понятно, почему этого большинство и не заметило.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

53. Сообщение от Аноним (-), 04-Июн-26, 13:58	+/–
> Ну в иксах ты можешь вызвать qdbus6 org.kde.KWin /KWin org.kde.KWin.showDebugConsole не, не могу, я же нормальный, я даже не знаю, что это за заклинание и зачем оно мне нужно >  А в вейланде что-нибудь такое постоянно случается. или не случается > Несколько раз уже было на вейланде. или не было что то сомнительные какие то у тебя доводы вот прям сейчас что-то у меня ничего не отваливается, при стандартных группах, на обычном пользователе, на системе из коробки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #64

64. Сообщение от Аноним (20), 04-Июн-26, 14:44	–1 +/–
Ну, глупостью кичиться тоже не стоит. Не достойно это человека как-то, уподобляешься животному.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #67

67. Сообщение от Аноним (-), 04-Июн-26, 15:03	+/–
> Ну, глупостью кичиться тоже не стоит глупость это когда ты не знаешь всего на свете и при этом не видишь смысла изучать, как в линуксе для иксов клавиатуру и мышь чинить? >  Не достойно это человека как-то, уподобляешься животному. не могу понять, что здесь животного? отказ от использования иксов? отказ понимать их работу, когда есть чем заниматься? отказ понимать, как их чинить? переход на ОС, в которых это все не нужно? а есть, что по делу сказать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #73

72. Сообщение от Аноним (76), 04-Июн-26, 15:14	+/–
Это известный троянописатель из wacom.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

73. Сообщение от Аноним (20), 04-Июн-26, 15:15	+/–
Именно так, способность к чтению и письменному обмену информации это вообще то, что отличает человека от прочих животных. То, что ты сознательно остаёшься на уровне примата, это твой выбор, конечно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #78

76. Сообщение от Аноним (76), 04-Июн-26, 15:18	+/–
Произошло то это что итак все знали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

78. Сообщение от Аноним (-), 04-Июн-26, 15:30	+/–
> Именно так, способность к чтению и письменному обмену информации это вообще то, что отличает человека от прочих животных ну то есть вот мы тут на 12 сообщений нафлудили, это не обмен информацией, и я конечно же не читал, что ты там пишешь, и сейчас не читаю > То, что ты сознательно остаёшься на уровне примата я задам эти вопросы еще раз отказ понимать внутренности иксов определяет собеседника как примата? или его как примата определяет переход на ОС без проблем, заставляющих изучать внутренности этих ОС? > это твой выбор, конечно ну спасибо, что не стал уподобляться линуксу и отбирать у меня этот выбор
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #81

79. Сообщение от Аноним (18), 04-Июн-26, 15:36	+/–
> в wheel и render Членство в этих группах - уже psdz...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #85

81. Сообщение от Аноним (20), 04-Июн-26, 15:41	–1 +/–
Приматом определяет неспособность понять такие элементарные вещи, как смысл команды qdbus6 org.kde.KWin /KWin org.kde.KWin.showDebugConsole -- тупо по названию можно догадаться. От того, что у тебя будет не линукс и не иксы (которые никакого отношения тут не имеют), ничего не изменится. Более сложные ОС, такие, как венда, требуют ещё большей квалификации и не только базовой грамотности, как линукс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #82

82. Сообщение от Аноним (-), 04-Июн-26, 15:58	+/–
> Приматом определяет неспособность понять такие элементарные вещи, как смысл команды qdbus6 org.kde.KWin /KWin org.kde.KWin.showDebugConsole я вроде сказал, что я не понимаю, зачем не это знать вот чтобы что? вот как это улучшит мою жизнь? или мне это надо знать затем, чтобы мне на опеннете не рассказывали, что я примат или что? > От того, что у тебя будет не линукс и не иксы (которые никакого отношения тут не имеют), ничего не изменится. Более сложные ОС, такие, как венда, требуют ещё большей квалификации и не только базовой грамотности, как линукс. вот никогда в жизни в венде я не вводил ничего подобного тому, что ты привел выше, мне никогда не было дела до внутрянки венды, я никогда не чинил венду, я даже тамошнюю консоль  открывал только потому что у llama.cpp нет устраивающего меня GUI вот какая такая квалификация у меня лучше как у пользователя, чем у пользователя линукса с иксами? ну и да, ты усиленно игнорируешь другие мои вопросы давай я их тебе приведу > не могу понять, что здесь животного? отказ от использования иксов? отказ понимать их работу, когда есть чем заниматься? отказ понимать, как их чинить? переход на ОС, в которых это все не нужно? > а есть, что по делу сказать? а так же спешу напомнить тебе, что мы обсуждали всякие там какие то группы линуксовые и изоляцию пользователей в иксах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #83

83. Сообщение от Аноним (20), 04-Июн-26, 16:12	+/–
Смысл в том, что во многих вопросах между линуксом и вендой ровно никаких отличий. Неспособность понять самые элементарные вещи как бы уже демонстрирует полную несостоятельность пользователя, таким дальше андроида/ios делать нечего -- какие из них пользователи ПК? Читать подобные "зачем это мне" всегда смешно -- даже домохозяйки без труда разбираются в логах и консольных командах по одному взгляду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #84

84. Сообщение от Аноним (-), 04-Июн-26, 16:22	+/–
> Смысл в том, что во многих вопросах между линуксом и вендой ровно никаких отличий во многих это в каких? > еспособность понять самые элементарные вещи как бы уже демонстрирует полную несостоятельность пользователя предположим причем здесь неспособность, когда я говорю про ненужность этих знаний? как это относится к теме нашего разговора? > таким дальше андроида/ios делать нечего -- какие из них пользователи ПК? они тебя не будут спрашивать, они берут и пользуются, и вот тут у линукса как у десктопной ОС нет шансов перед вендой с маком, о чем я говорил с десяток сообщений выше > Читать подобные "зачем это мне" всегда смешно -- даже домохозяйки без труда разбираются в логах и консольных командах по одному взгляду. серъезное заявление даже не знаю, зачем это нужно домохозяйкам а еще ты не ответил на мои вопросы, я их сюда напишу > не могу понять, что здесь животного? отказ от использования иксов? отказ понимать их работу, когда есть чем заниматься? отказ понимать, как их чинить? переход на ОС, в которых это все не нужно? > а есть, что по делу сказать? а так же спешу напомнить тебе, что мы обсуждали всякие там какие то группы линуксовые и изоляцию пользователей в иксах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

85. Сообщение от Аноним (-), 04-Июн-26, 16:24	+/–
да нет, вроде все нормально
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

89. Сообщение от жявамэн (ok), 04-Июн-26, 16:58	+1 +/–
формата лучше древнего ini так и не придумали он же properties nama.in.out: value лучший формат
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

91. Сообщение от Аноним (91), 04-Июн-26, 17:45	+2 +/–
> Точно. Ведь ничего плохого например с json никогда не происходит https://seriot.ch/security/parsing_json.html Ты правда не соображаешь, о чем он говорил? JSON парсер написан раз - и используется во всех проектах. А NIH форматы и парсеры для них переизобретаются снова и снова с весьма предсказуемым результатом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема