The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление X.Org Server 21.1.11 с устранением 6 уязвимостей

18.01.2024 09:26

Опубликованы корректирующие выпуски X.Org Server 21.1.11 и DDX-компонента (Device-Dependent X) xwayland 23.2.4, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранено 6 уязвимостей, некоторые из которых могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH.

Выявленные проблемы:

  • CVE-2023-6816 - переполнение буфера, возникающее при передаче некорректного индекса массива в операциях DeviceFocusEvent и ProcXIQueryPointer. Уязвимость вызвана тем, что X-сервер выделяет память массива с учётом фактического числа кнопок, в то время как запрос позволяет использовать в массиве значения до 255. Проблема проявляется начиная с выпуска xorg-server-1.13.0 (2012 год).
  • CVE-2024-0229 - запись в область вне границы буфера через повторную привязку к другому master-устройству в конфигурации, в которой устройство одновременно оснащено элементами ввода класса "кнопка" (button) и "клавиша" (key), и при этом число кнопок (параметр numButtons) выставлен в 0. Проблема проявляется начиная с выпуска xorg-server-1.1.1 (2006 год).
  • CVE-2024-21885 - переполнение буфера в функции XISendDeviceHierarchyEvent, возникающее при удалении устройства с заданным идентификатором и добавлении устройства с тем же идентификатором в рамках одного запроса. Уязвимость вызвана тем, что при двойной операции для одного идентификатора записывается сразу два экземпляра структуры xXIHierarchyInfo, в то время как функция XISendDeviceHierarchyEvent выделяет память с расчётом на один экземпляр. Проблема проявляется начиная с выпуска xorg-server-1.10.0 (2010 год).
  • CVE-2024-21886 - переполнение буфера в функции DisableDevice, возникающее при отключении master-устройства при уже отключённых slave-устройствах. Уязвимость вызвана неверным расчётом размера структуры для хранения списка устройств. Проблема проявляется начиная с выпуска xorg-server-1.13.0 (2012 год).
  • CVE-2024-0409, CVE-2024-0408 - повреждение контекста SELinux при включении xserver_object_manager и запуске клиента или создании GLX PBuffer.


  1. Главная ссылка к новости (https://lists.x.org/archives/x...)
  2. OpenNews: Обновление X.Org Server 21.1.10 с устранением уязвимостей. Удаление поддержки UMS из ядра Linux
  3. OpenNews: Обновление X.Org Server 21.1.9 и xwayland 23.2.2 с устранением уязвимостей
  4. OpenNews: Обновление X.Org Server 21.1.8 и xwayland 23.1.1 с устранением уязвимости
  5. OpenNews: Обновление X.Org Server 21.1.7 с устранением уязвимости
  6. OpenNews: Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранением 6 уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60456-xorg
Ключевые слова: xorg, xserver
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (111) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 09:35, 18/01/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –4 +/
     
     
  • 2.4, Аноним (4), 09:38, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +4 +/
     
     
  • 3.5, Аноним (2), 09:42, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.7, Egan (?), 09:54, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 5.9, Аноним (2), 09:58, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 6.20, Аноним (-), 10:14, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 7.23, Аноним (2), 10:28, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 8.27, Аноним (-), 10:48, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 9.28, Аноним (2), 10:59, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 8.29, Аноним (-), 11:00, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 7.34, Аноним (34), 11:17, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 8.35, Аноним (-), 11:38, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 4.13, Admino (ok), 10:03, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 4.14, Аноним (-), 10:03, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.8, Admino (ok), 09:57, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +4 +/
     
     
  • 3.12, Аноним (2), 10:02, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 4.15, Admino (ok), 10:06, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 5.17, Аноним (2), 10:08, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 6.24, Аноним (-), 10:31, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.25, Аноним (2), 10:35, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 7.26, Аноним (26), 10:44, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 8.31, Аноним (31), 11:11, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 8.32, Аноним (-), 11:12, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (22)

  • 1.11, Аноним (-), 09:59, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Итак, 4 проблемы - переполнение или запись за границы буфера.
    Возможно идея с принудительными проверками не такая уж плохая)

    А вот возраст этих дырок... 2006 год, дырка уже вполне совершеннолетняя)
    В общем тысячи глаз опять обделались.
    Напомню что первая версия вейланда была в конце 2008 года.

     
     
  • 2.18, Alex (??), 10:09, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +29 +/
    Дырка уже вполне совершеннолетняя)
    Шутка от Бога))
     
  • 2.42, Аноним (42), 12:12, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Напомню что первая версия вейланда

    Напомню, что в топике уязвимости найдены в ИМПЛЕМЕНТАЦИИ протокола X11 - X.Org Server, а Wayland - это ОПИСАНИЕ протокола.

    Такие же дырки могут быть и в имплементациях Wayland, и точно так же кто-нибудь может написать имплементацию X11 на хрусте, где таких уязвимостей конечно же не будет. Но никто этого делать, само собой, не станет.

     
     
  • 3.101, Аноним (101), 19:58, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А самое веселое что реализаций вяленого 4 и это не предел и в каждой может быть своя дыра.
     

  • 1.19, Аноним (26), 10:11, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Идеальные иксы стали еще идеальнее!
     
  • 1.33, Аноним (33), 11:16, 18/01/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +2 +/
     

     ....ответы скрыты (7)

  • 1.36, Bottle (?), 11:43, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А вот если бы пользовались статическими анализаторами, формально верифицировали код с помощью Coq, вот тогда бы подобных дыреней было бы на порядок меньше.
     
     
  • 2.37, Анонин (?), 11:51, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > формально верифицировали код с помощью Coq

    А это вообще реально для таких больших проектов?

     
  • 2.39, крок (?), 11:57, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем!? Это десятилетиями работало без проблем.
     
     
  • 3.58, Аноним (-), 15:57, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Зачем!? Это десятилетиями работало без проблем.
    > работало без проблем
    > работало

    Если в твоем понимании вот это
    "могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH"
    называется "работало" то у меня просто слов нет)

    Была дырка 18 летняя дырка, и уязвимость в безопасности - это не называется "работало без проблем".
    Типичная ситуация "тут труба немного капает, просто забьем... а потом 'а у нас все отопление прормало памагите'".

     
     
  • 4.69, Ivan_83 (ok), 16:48, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У вас какая то фиксация на ошибках, вам бы к психологу для начала сходить.

    На большинстве систем 1-полтора юзера, которые и так пароль от рута знают.
    А уж тех кто Х11 через ссш гоняет так вообще не найти в реальном мире.

    Ещё раз попробуйте понять: есть то что работает и есть то что работает и иногда падает, последнее нуждается в ремонте.

     
     
  • 5.74, Аноним (74), 17:14, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну давай вернёмся на Фортран и мультики. А чо, работало же. Зачем эти все язычки и технологии. Перфоленты ещё вернём и перепишем туда экзабайты.
     
     
  • 6.75, Аноним (74), 17:15, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    s/мультики/мультикс/
     
     
  • 7.109, Аноним (33), 20:50, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, ты правильно написал - тебе лучше вернуться к мультикам. Где идеальный розовый мир с радужными поняшками.
     
  • 6.78, Ivan_83 (ok), 17:26, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вы опять не поняли: оно сейчас работает. Не надо прикладывать никаких усилий, всё уже хорошо.
     
     
  • 7.99, Аноним (-), 19:10, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тогда я удаляюсь из спора.
    У нас слишком разные понятия для "оно сейчас работает".
    То что в коде живет баг позволяющий "выполнять код на удалённой системе", то это не нормально.

    А по поводу "не надо прикладывать никаких усилий, всё уже хорошо" расскажи мне про подключение 2 мониторов).
    Я понимаю, что возможно, ты сидишь за одноним монитором, цветопередача и hdr тебя вообще не волнует, у тебя тирринг-слепота.
    Но у меня требования другие. И таких как я набралось достаточное кол-во, чтобы начать выкидывать х11 на помойку.
    Так что извини, но меня мало волнуют мнение всяких меньшинств-неформалов)

     
     
  • 8.108, Аноним (33), 20:49, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    По улицам ходишь в скафандре ... текст свёрнут, показать
     
     
  • 9.110, Аноним (-), 20:54, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет конечно Но через дорогу на красный не бегаю, пальцами в розетку не лажу В ... текст свёрнут, показать
     
  • 8.115, Аноним (106), 00:38, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял про два монитора Сейчас сижу в дебиане с двумя мониторами Что делаю н... текст свёрнут, показать
     
  • 8.116, Ivan_83 (ok), 00:55, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня один монитор, больше не хочу Доча подключала два, никаких проблем не был... текст свёрнут, показать
     
     
  • 9.118, пох. (?), 02:43, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    клавиши atl tab не отвалились в вечном переключении между ide и гуглом chatgpt д... текст свёрнут, показать
     
     
  • 10.125, User (??), 07:33, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты все пропустил - третьего дня нам объяснили, что НАСТОЯЩИЙ программист гуглом ... текст свёрнут, показать
     
  • 10.136, Ivan_83 (ok), 15:16, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет Код же не принято делать сильно ширее чем 80 символов, даже с учётом обвеса... текст свёрнут, показать
     
  • 5.82, adolfus (ok), 18:08, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я гоняю Потому что консоль комплексное средство взаимодействия с компьютером ... большой текст свёрнут, показать
     
     
  • 6.100, Аноним (-), 19:13, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Третий кейс выглядит, как нарушение договоренностей и обман заказчика.
    Главное чтобы не получилась ситуация "мой комп взломали, потмо комп заказчика и в сеть утекли тонны файлов которые никто не должен был видеть".
    Надеюсь ты все-таки пишешь про университет и доступ к компам в аудиториях)
     
  • 3.73, Аноним (74), 17:13, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Плохо работало. Отвратно. Так отвратно, что находят дыры 2006 года.
     
  • 2.40, Bottle (?), 11:59, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Анонин, всегда можно начать с небольшого подмножества, на основе которого пишется всё остальное. Затем, со временем, расширять это подмножество.
     
  • 2.41, Аноним (38), 12:01, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Coq оверкилл для большинства проектов, но тот же clang предоставляет массу полезных чекеров и санитайзеров https://clang.llvm.org/docs/index.html только пользуйся.
     
  • 2.72, Аноним (74), 17:12, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Достаточно писать на нормальных строгих языках, что открывает фундаментальную опцию автоматической верификации (нужно только будет корректность доказать). Coq все же для доказательства теорем придуман. А стат. анализаторы - это костыль для язычков, которые в строгость не умеют.
     

  • 1.43, голос из леса (?), 12:33, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    пора прогнать весь код через LLM и удалить ненужное и неактуальные, заодно оптимизировав, не поверю, что у них нет мощностей для этого дела
     
     
  • 2.71, Аноним (38), 17:00, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Боюсь что тогда придется удалить малоквалифицированные кадры (то есть процентов этак 90%) и переписывальщиков всяких.
     
     
  • 3.96, Аноним (96), 18:59, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Боюсь что тогда придется удалить малоквалифицированные кадры

    Так уже. В нашей фирме с начала прошлого года сократили всех джунов, тестировщиков и даже пару миддлов, заменив их на AI.

     
     
  • 4.105, Анонин (?), 20:11, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 2.107, Аноним (106), 20:38, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >пора прогнать весь код через LLM и удалить ненужное и неактуальные, заодно оптимизировав,

    Заодно напихав туда на порядок более ненужного и неактуального мусора, который тот самый LLM нагенерит. Только профнепригодный не будет фильтровать выдачу LLM, там 50% мусора, и 50%-ая вероятность выдачи истинной информации.

     
     
  • 3.117, пох. (?), 02:41, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    вообще то ai "умнее" большинства программистов, так что он прав. пысы. ты можешь и дальше успокаивать себя своей нужностью.
     
     
  • 4.126, Аноним (106), 11:02, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я вообще не программист, и не админ, так что твоя желчь тут мимо. Но для написания юнит тестов, и вообще тестов всяких побольше, с удовольствием бы впряг нейронку, того же чатагпт. Вот только не могут они (пробовали по-всякому). Что-то простое для демонстрации на ютубчике оно выдаст, а когда его просишь написать юнит тесты на такое-то множество функций/классов на выходе мусор. Выглядит как юнит тесты, но там не юнит тесты.
     
  • 4.134, Аноним (106), 12:28, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И еще круто было бы написание документации на ai свалить, чтоб время не тратить на эту мерзкую работу. Не получается у него. Пишет красиво, а по сути бред.
     
     
  • 5.141, нах. (?), 13:53, 20/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    всегда так делаю! Если б еще подлый Бидон не запретил мне пользоваться чатгопотой4 - вообще бы кроме ctrl-c/ctrl-v никаких кнопок не тыцал.

    Ну и что что бред - как будто кто-то это читать потом собирается?!
    И потом... читывал я писанное кожанными мешками - вот тогда я познал что есть бред.

     

  • 1.45, крокодил мимо.. (?), 12:49, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    16-го syspatch прибыл в OpenBSD.. хорошо..

    идеи "выкинуть ненужное" - пожалуйста, не надо.. и так некоторые уже 15 лет планируют выкинуть все иксы "за ненадобностью"..

    статалализаторы тесты и прочий "чек" - дело хорошее и нужное.. думаю, именно так подобные уязвимости/неточности/небрежности и находят по случаю.. вопрос лишь в сроках устранения и публикации CVE..

     
     
  • 2.48, голос из леса (?), 13:01, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    опять ты со своим опенбсд, который настолько хорош, что документации нет от слова совсем и настолько безопасный, что падает от бага с выводом в консоль
     
     
  • 3.61, крокодил мимо.. (?), 16:15, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > опять ты со своим опенбсд, который настолько хорош, что документации нет от
    > слова совсем и настолько безопасный, что падает от бага с выводом
    > в консоль

    единственная (по сути) система с полной и актуальной документацией, которая ведёт себя именно так, как написано в доках..

    баги с выводом в консоль - портированный wscons.. на практике вы с ними столкнётесь либо посещая что-то типа https://www.exploit-db.com/  либо целенаправленно разгребая код.. exploitability rank = 1.8, емнип, насчёт устранённых в 7.2 control sequence issues.. не оправдание, но и не архикритичная штука..

     
     
  • 4.94, Аноним (96), 18:56, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > единственная (по сути) система с полной и актуальной документацией

    Ткни носом в wiki или handbook. MANы это не документация, а справочник (для особо одарённых 1001 раз повторяю).

     
     
     
    Часть нити удалена модератором

  • 6.123, anticlown (?), 07:13, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ещё один не понимающий чем отличается строго структурированная справка от справочника по командам. поэтому если нас делают в кулинарном техникуме, то вас на городской свалке.
     
     
  • 7.124, User (??), 07:22, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ещё один не понимающий чем отличается строго структурированная справка от справочника по
    > командам. поэтому если нас делают в кулинарном техникуме, то вас на
    > городской свалке.

    В каком месте "строго структурированная справка" == wiki или handbook? Manual pages - составная часть документации, мусорка с хаутуями образовавшаяся в результате свального греха школоты - нет.

     
  • 5.127, Аноним (106), 11:04, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >MANы это не документация

    MAN-это документация. Одна из форм. Если тебе нужна смузихлебные курсы на ютубе, то просто не мучайся, ойти не для тебя

     
  • 2.52, Аноним (52), 13:18, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Обожаю этот OpenBSD. Главный девиз, если у вас нет Wi-Fi, значит и уязвимостей тоже не будет!
     
     
  • 3.54, Аноним (54), 14:59, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ещё там нет trim, bluetooth, здравого смысла.
     
  • 3.55, Аноним (55), 15:03, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    у меня 300мбит на iwx вайфае - откуда эта чушь что на опене нет вайфая? не первый раз вижу тут
     
     
  • 4.68, крокодил мимо.. (?), 16:34, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > у меня 300мбит на iwx вайфае - откуда эта чушь что на
    > опене нет вайфая? не первый раз вижу тут

    эт местечковые "ыксперды"..
    им всё не так: и fs не торт, и отсутствие trim и т.д. и т.п.. при этом никто из них на реальном железе не пользует OpenBSD.. недавно один из подобных "экспертов" тут жаловался, что static-gzip в httpd не осилил по $ man httpd.conf , а аж на реддите чё-то путное нашёл.. или не нашёл, ибо из трэда оно пропало..

     
     
  • 5.76, Аноним (74), 17:18, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А чо, реальное железо давно начало поддерживать openbsd? Не самоделкины "поставлю и буду молиться, что заработает", а реальная вендорская поддержка?
     
     
  • 6.92, Аноним (96), 18:54, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты в серьезный диалог пытаешься с фанатиком, который жЫлезо подбирает под ОС.
     
     
  • 7.122, User (??), 05:14, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так тут других почитай, что и нет - если не подбирать старательно, то есть все шансы, что какой-нибудь сканер отпечатков пальцев или там принтер на нескучном лялихе не заработает)
     
  • 6.129, крокодил мимо.. (?), 11:20, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А чо, реальное железо давно начало поддерживать openbsd? Не самоделкины "поставлю и
    > буду молиться, что заработает", а реальная вендорская поддержка?

    ты не поверишь, но:
    https://alterwebhost.com/openbsd-vps/

     
  • 5.91, Аноним (96), 18:53, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > static-gzip в httpd не осилил

    Могу 100 баксов поставить (в крипте) что у тебя ничего не получится.

     
     
  • 6.130, крокодил мимо.. (?), 11:34, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> static-gzip в httpd не осилил
    > Могу 100 баксов поставить (в крипте) что у тебя ничего не получится.

    отдай в приют для животных..

    $ man httpd.conf
    /etc/httpd.conf в секцию 'server {}' в конец дописываешь "gzip-static".. для выдачи с компрессией делаешь:
    # gzip -k /path/to/{files,list}
    # rcctl restart httpd
    всё.. работает если дата модификации .gz файла новее "оригинала"..

     
  • 5.93, Аноним (96), 18:55, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > при этом никто из них на реальном железе не пользует OpenBSD

    Включая самого создателя этого поделия.

     
  • 4.139, Аноним (139), 19:46, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > у меня 300мбит на iwx вайфае

    Почему так мало?

     
  • 3.98, Аноним (96), 19:07, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Обожаю этот OpenBSD. Главный девиз, если у вас нет Wi-Fi, значит и
    > уязвимостей тоже не будет!

    Ты посмотри какое железо используют адепты. Там кора дуба с GMA 950 - это предел мечтаний. Забавно, что у них на сайте написано, типа оно работает с маками на M1, взял с работы макмини чисто ради интереса, оно даже до конца не загрузилось, зависло намертво на стадии загрузки 😄

     
  • 2.70, Ivan_83 (ok), 16:51, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Такое ловят собрав и запустив с ASAN и мучая фазингом который шлёт всякий рандом и мусор.
    Из описания не похоже чтобы там анализатор по исходникам что то смог найти, да и наверняка прогоняли анализатором уже ни один раз до того.
     
     
  • 3.77, крокодил мимо.. (?), 17:23, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ASAN .. фаззинг..

    скорее всего, если это касается сабжа (CVE-2023-6816 CVE-2024-0229 CVE-2024-21885 CVE-2024-21886 CVE-2024-0408 CVE-2024-0409)

    упомянутые же выше недочёты при портировании wscons (control sequence issues), емнип, ловили целенаправленно, шерстя код.. хорошо, что нашли, опубликовали и исправили..

     
     
  • 4.80, Ivan_83 (ok), 17:29, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее не целенаправленно а просто перетряхивая код и смотря где каких проверок не хватает.

    Я таким образом пару недочётов в реализации ARP во фре нашёл когда то и ради лулзов даже научился читать удалённо ядерную память по сети через это :)

     
     
  • 5.128, крокодил мимо.. (?), 11:08, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > научился читать удалённо ядерную память по сети

    клёво! кстати, в опёнке доступ к /dev/mem и /dev/kmem по умолчанию закрыт.. для работы с памятью сперва
    # echo 'kern.allowkmem=1' >> /etc/sysctl.conf
    потом reboot и только после этого можно пользовать dmidecode, procmap, pstat -d и т.д..

     
     
  • 6.135, Ivan_83 (ok), 15:14, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я читал посылая модифицированные ARP запросы, фря в ответ копировала IP и MAC адреса из ARP кеша не 4 и 6 байт а сколько я указал, те до 255 байт. Бесполезное практически, она даже не падала, хотя можно было постаратся наверное.
     
     
  • 7.137, крокодил мимо.. (?), 16:29, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Я читал посылая модифицированные ARP запросы, фря в ответ копировала IP и
    > MAC адреса из ARP кеша не 4 и 6 байт а
    > сколько я указал, те до 255 байт. Бесполезное практически, она даже
    > не падала, хотя можно было постаратся наверное.

    хмм.. т.е. эт не arpd, а "обычный" ответ сетевого на arp запрос..
    посмотрел на if_arp.h (arphdr structure defined the fixed-length portion), вроде норм.. надо теперь найти время и палкой потыкать :))

    благодарю за идею!

     
  • 2.103, Аноним (103), 20:07, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > 16-го syspatch прибыл в OpenBSD.. хорошо..

    Как там эта их Xenocara поживает? Тоже с 2006 года с вулнами? БезопасТнички от бога мля.

     

  • 1.81, Аноним как всегда (?), 17:41, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда иксы станут идеальными и без багов и уязвимостей их закопают ))
    Вон, уже редхат убирают из из дистрибутива
     
     
  • 2.84, adolfus (ok), 18:21, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Огромное количество их клиентов используют очень непростой и дорогой софт (сапры и программы моделирования, например), взаимодействующий с человеком только через ssh -Y. Значит, этот софт не будет работать под их линуксами, вот и все. X форвардинг сегодня заменить нечем.
     
     
  • 3.86, Аноним (-), 18:47, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Значит у них есть несколько вариантов 1 сидеть на старой версии системы с Х11 ... большой текст свёрнут, показать
     
     
  • 4.131, User (??), 11:50, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    П. 1 условно работает, пока не приходишь к заказчику у которого есть тугумент с какой-нибудь "Политикой в сфере ИБ", явным образом запрещающий эксплуатацию ИС с истекшим сроком поддержки\без контракта с вендором etc. Частично обходимо через, например, лицензирование в качестве ПАКа - но местами-и-временами проблемно.
    2. Ну... оно есть. На текущем месте работы вот наткнулся отечественный на CAD с расчетом теплогидравлики - linux-only, причем не legacy какое-то а вполне себе активно развиваемый копролит. И да, норот реально с виндовых машин по сети Х-ы гоняет... выглядит как какая-то редкостная хтонь, но на вид работает.
     
  • 4.142, adolfus (ok), 00:52, 21/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Я как-то не могу придумать "непростой и дорогой софт" типа сапров, которые
    > есть под линукс и нету под оффтопик.

    Есть ознакомительные, студенческие или ограниченные версии. Реальные сапры по разработке чипов, например, работают на линуксе, поскольку виндовсы не присутствуют в числодробительном сегменте от слова совсем. Это же и в отношении моделирования.
    Тормоза эти ваши виндовсы. Годятся только для рендеринга виртуальной реальности и только потому, что графический интерфейс -- часть ядра. Вяленый именно из-за этого появился -- наркоманам нужны танчики и прочий онанизм.

     
  • 2.113, Аноним (4), 23:37, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще непонятно о чём такой вой стоит — иксы никто закапывать не собирается. Даже баги правятся. Они просто будут существовать в виде XWayland, вот и всё. Кому сильно надо проприетарщину пускать или просто древность всякую — да на здоровье.

    Даже более того, отбитые фанатики могут эту же репу клонировать и поддерживать основной бэкенд, при этом таская из апстрима багфиксы, спонсированные редхатом. Но никто ж ничего как не делал, так и не сделает. Хотя, вот, недавно один васян, на расте свои иксы запилил, в дополнение к своему же posix-совместимому ядру. Но раст некошерен, поэтому 100% никто и ничего.

     

  • 1.83, Аноним (139), 18:16, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я надеюсь, что это комментаторы из последнего срача про Иксы взяли и начали баги править.

    > Found by: Jan-Niklas Sohn working with Trend Micro Zero Day Initiative
    > Found by: Olivier Fourdan
    > Found by: Olivier Fourdan and Donn Seeley

    А нет, показалось…

     
  • 1.85, Вы забыли заполнить поле Name (?), 18:44, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Теперь скажите мне - эти уязвимости могли быть найдены санитайзером?
     
     
  • 2.104, Аноним (103), 20:09, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь скажите мне - эти уязвимости могли быть найдены санитайзером?

    Небось вон те как-то так их и нашли.

     
  • 2.114, Аноним (4), 23:42, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Больше скажу, львиная доля этих уязвимостей висела и висит в багтрекере иксов в виде стрёмных багов и крешей. Некоторые даже находились по нескольку раз разными людьми за последнее десятилетие.

    Но нет, «работает — не трожь», «иксы идеальны», вот это вот всё.

     

  • 1.111, Ник подрывник (?), 20:59, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Про 80000 строк ужаса-а фанатикам редхата не надоело постить цитату одного идиота?человек может быть профи в чем угодно,но он остается человеком со своими пристрастиями и прочим.и не надо тут чушь про "профессиналов" писать. Одна цитата одного дурака. Потому что если ты профи,ты берешь и применяешь навыки рефакторинга и вылизываешь все до блеска.а не можешь- ну так ты не профи, ты болт с горы,который просто декларирует,а не делает.как бэ классификация по поведению-одна из наиболее точных.
    Про луддитов-вы бы хоть значение термина посморели,грамотеи. И претензии грамотные. X один. Вяленого много. И пилить новое здорово,вот только где опыт то иксовый?где это все?а нету его.так что вейланд и x это разные вещи,кто бы что не писал в сети.
    Резонов разработки вяленого много,потому что увы и ах, в природе нет абстракций,которые позволяли бы пощупать только одну сторону явления.это отсылка,что просто так не бывает ничего. Но одна из причин-лень разрабов. Вторая-бестолковость.80000 ужаса красноречиво намекают на оба обстоятельства. И уж по хорошему, большие проекты разрабатываются и пилятся командами. Всякими архитекторами на верхнем уровне,и на нижнем уровне быдлокодерами. Вот то,что опенсорссообщество-это дохлая фикция,говорит как игнорирование мнения этого сообщества,так собственно и то,что профи самых разных профессий не собрались и не сделали свою красношляпу со своими иксами с миру по нитке. Так что имеем что имеем.идиотов и еще алчных идиотов,играющих в долгую. Да,идиотов прошу вспомнить историю нокии. Шаблон провокатора и агента влияния сцществует не один век).одни видят перемены и ощущают направление тенденций,говорят об этом и фанатики еще дохлого продукта называют их луддитами... смешная манипуляция
     
     
  • 2.112, Анонин (?), 22:07, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего себе наезды и оскорбления.
    Этот человек нашел как минимум 120 багов всего в одной подсистеме копроиксов.

    > Про луддитов-вы бы хоть значение термина посморели,грамотеи.

    луддиты - это местный мем, который пошел вроде от Фрактала

    > вот только где опыт то иксовый?

    Как раз в вяленом. Иксы прекрасное пособие как НЕ нужно делать!

    > вейланд и x это разные вещи

    Слава богу - да! Как же хорошо, что не сделали Х12, а начали с чистого листа.

    > фанатики еще дохлого продукта называют их луддитами

    Их называют луддитами, потому что на любую вещь, которую иксы не поддерживают нормально, типа hdr, vrr и тд, тебе начинают втирать "оно нинужна", "мониторы дорогие", "хорошо не жили, нечаво и начинать"

     
     
  • 3.119, пох. (?), 02:45, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > луддиты - это местный мем

    изначально было не луддиты, а луддисты в контексте луддистров (дистров для луддитов).

     
  • 3.120, Аноним (96), 02:46, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > типа hdr, vrr и тд

    Но это весь и вправду нафиг не надо, тем более на т.н. "десктопном" linooops. Даже макбуки не знают таких слов.

     
     
  • 4.132, Аноним (-), 11:56, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    О! А вот еще один луддит)

    В прошлой теме про вайн народ рассказывал, как хорошо играется в последние игрушки на линукс.
    Почему идея "а давай сделаем игровой десктоп" сразу отметается?
    А ведь там будет норм видяха, хороший монитор.

    И да, на макбуках прошках есть VRR support.apple.com/ru-ru/HT213513
    А HDR10 поддерживают модели еще 18 года.

     
  • 2.133, User (??), 12:01, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вы же профессионал, Иванов! Не давайте нам оснований думать, что вы не профессионал!(Ц)
     
  • 2.138, Аноним (139), 19:45, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > если ты профи,ты берешь и применяешь навыки рефакторинга и вылизываешь все до блеска.а не можешь- ну так ты не профи, ты болт с горы,который просто декларирует,а не делает

    Стало быть, ты не профи. А раз так, то дальше тебя читать нет смысла.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру