The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В X.Org Server выявлено 12 уязвимостей

10.12.2014 09:18

Разработчики проекта X.Org сообщили об устранении 12 уязвимостей в X.Org Server, некоторые из которых имеют характер критических проблем и позволяют организовать выполнение кода с привилегиями запущенного X-сервера при получении специально оформленного запроса от клиента. Ряд проблем затрагивает реализацию таких популярных расширений, как GLX, DRI3, Present, Render, RandR, XVideo и XInput. Интересно, что некоторые уязвимости присутствуют в коде уже достаточно давно, например, есть проблемы появившиеся в 1987, 1989, 1994, 1996 годах. Исправления пока доступны в форме патчей.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Вышел X.Org Server 1.16
  3. OpenNews: В X.Org устранены три уязвимости, позволяющие поднять свои привилегии в системе
  4. OpenNews: Опасная уязвимость в X.Org, присутствующая с 1991 года
  5. OpenNews: В X.Org Server выявлена удалённая уязвимость, присутствующая с 1993 года
  6. OpenNews: В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41229-x.org
Ключевые слова: x.org
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Fracta1L (ok), 10:38, 10/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    А исправление иксов в общем доступно в форме Wayland.
     
     
  • 2.5, Аноним (-), 11:16, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    http://lists.freedesktop.org/archives/wayland-bugs/2014-December/thread.html

    да да..

     
  • 2.8, ar237su (?), 11:40, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +6 +/
    Совершенно верно, иксам место на помойке
     
     
  • 3.21, Аноним (-), 17:38, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Совершенно верно, иксам место на помойке

    Тебе там и так тесно :)

     
     
  • 4.26, Vkni (ok), 18:33, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Он просто переживает, что сидит там один и без Хов. :-)
     
     
  • 5.27, Аноним (-), 19:50, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Дайте ему уже иксы, и все будут на своих местах =)
     
     
  • 6.37, Vkni (ok), 20:08, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Не берёт!
     

  • 1.3, Нанобот (ok), 10:40, 10/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +5 +/
    >есть проблемы появившиеся в 1987, 1989, 1994, 1996 годах

    27 лет багу -- они переплюнули баш!

     
     
  • 2.32, Аноним (-), 19:59, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    >>есть проблемы появившиеся в 1987, 1989, 1994, 1996 годах
    > 27 лет багу -- они переплюнули баш!

    И это еще не предел! Ждем дыр 1984 года выпуска.

     

  • 1.9, Омский линуксоид 2 (?), 11:49, 10/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Выявленные и исправленные уязвимости - две большие разницы. Вот расстроили Омских линуксоидов...
     
     
  • 2.10, Аноним (10), 11:52, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Последнее предложение не осилил дочитать?
     
     
  • 3.35, Аноним (-), 20:03, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Нормальные люди экономят свое время, и читают только заголовок новости.
     
  • 2.29, Аноним (-), 19:52, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Выявленные и исправленные уязвимости - две большие разницы. Вот расстроили Омских линуксоидов...

    Новость о том, что их исправили. А о том, что выявили, новости не было. Такие вещи заинтересованные люди предпочитают не афишировать.

     

  • 1.11, Аноним (-), 12:20, 10/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    > есть проблемы появившиеся в 1987, 1989, 1994, 1996

    Ммм.. свежак! :)

     
  • 1.15, Аноним (-), 13:31, 10/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –3 +/
    > давно, например, есть проблемы появившиеся в 1987, 1989, 1994, 1996 годах.

    А был бы закрытый софт, никогда бы не нашли, вотъ.
    Представил как через тысячу лет инопланетяне откопали остатки земных компьютеров и нашли там дыры в открытых программах, а в закрытых не нашли

     
     
  • 2.16, Аноним (-), 13:42, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Вы не можете потерпеть со своим блеянием по поводу дыр в открытых vs  закрытых программах?
    Побойтесь бога.
    Последствия shellshock и  hearthbleed еще не полностью устранили.
     
     
  • 3.17, Аноним (-), 13:53, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Последствия shellshock и  hearthbleed еще не полностью устранили.

    Да и IE3 наверное еще не все пропатчили :)

     
     
  • 4.33, Аноним (-), 20:01, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Последствия shellshock и  hearthbleed еще не полностью устранили.
    > Да и IE3 наверное еще не все пропатчили :)

    Зато в IE6 все чики-пуки! А другими браузерами можно и пренебречь.

     
  • 3.30, Аноним (-), 19:55, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >  hearthbleed

    MGIMO English?

    А если серьезно, то в мелкомягком SSLе совсем недавно нашли дырку, куда более фееричную, чем heartbleed.

     

  • 1.18, Аноним (-), 15:23, 10/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Xorg это полноценности ось, ващемта в своё время была
     
     
  • 2.23, pavlinux (ok), 17:50, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Чо?! o_O
     

  • 1.24, pavlinux (ok), 17:57, 10/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А у меня ещо есть пару експлойтаф! И конечна хрен покажу.  
    Ну а кто очкует - выкидывайте утиль xrandr или запрещайте запуск от любого юзера.

    ---
    Ах да, и ещё в xorg.conf забанить Ctrl+Alt+"numpad +/-"

     
     
  • 2.36, Аноним (-), 20:04, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > А у меня ещо есть пару експлойтаф! И конечна хрен покажу.
    > Ну а кто очкует - выкидывайте утиль xrandr или запрещайте запуск от
    > любого юзера.
    > ---
    > Ах да, и ещё в xorg.conf забанить Ctrl+Alt+"numpad +/-"

    А проблему с переполнением буфера при клике по длинной ссылке еще не починили?

     
     
  • 3.39, pavlinux (ok), 21:54, 10/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    буфера где? ссылке какой? куда? длина? клике на чём, на что?...    
     
     
  • 4.46, Аноним (-), 17:44, 11/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > буфера где? ссылке какой? куда? длина? клике на чём, на что?...

    Ну вот допустим в какой-нибудь левой проге (pidgin для определенности) я кликаю по длинной ссылке, и иксы вылетают. Похоже на переполнение буфера.

     

  • 1.40, Baz (?), 22:38, 10/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Федоре не грозит... http://puu.sh/dbBFC/d4d34389ba.jpg (из сообщества Fedora)
     
  • 1.41, adolfus (ok), 12:45, 11/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > позволяют организовать выполнение кода с привилегиями запущенного X-сервера

    Что-то я не понял -- разве X-сервер не от пользователя запускается?

    $ startx

     
     
  • 2.42, Andrey Mitrofanov (?), 13:26, 11/12/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    >> позволяют организовать выполнение кода с привилегиями запущенного X-сервера
    > Что-то я не понял -- разве X-сервер не от пользователя запускается?
    > $ startx

    Запуск [с правами X] и выполнение [с правами Y] не одно и то же ж:

    $ ps -AHf|grep [/]X
    root      3577  3517  1 Дек01 tty7  02:53:14         /usr/bin/X :0 vt7 -br -nolisten tcp -auth /var/run/xauth/A:0-2rBdab
    $ ls -l /usr/bin/X
    -rwsr-sr-x 1 root root 9508 Май 12  2013 /usr/bin/X

     

  • 1.44, iZEN (ok), 16:40, 11/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    На Фре пофиксили: http://www.freshports.org/x11-servers/xorg-server/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру