The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимостей

23.05.2013 19:55

Разработчики X.Org сообщили о выявлении 30 уязвимостей, затрагивающих различные клиентские библиотеки X11, а также DRI-компоненты Mesa. Проблемы обусловлены отсутствием должной проверки корректности передаваемых в рамках протокола X11 наборов данных и проявляются в виде выхода за границы буферов и целочисленных переполнений при обработке некорректно оформленных запросов.

Многие уязвимости позволяют инициировать выполнение кода на стороне X-клиента при взаимодействии с подконтрольным атакующему сервером. Так как клиент и сервер в большинстве случаев выполняются на одной машине под одним пользователем или сервер работает с более высокими привилегиями, выявленные уязвимости не представляют большой опасности. Тем не менее они могут угрожать конфигурациям, когда привилегированный клиент подсоединяется к непривилегированному стороннему серверу (например, setuid X-клиент подсоединяется к виртуальному X-серверу, такому как Xvfb или Xephyr).

Исправления внесены в следующие выпуски библиотек: libX11 1.5.99.902 (1.6 RC2), libXcursor 1.1.14, libXext 1.3.2, libXfixes 5.0.1, libXi 1.7.2, libXinerama 1.1.3, libXp 1.0.2, libXrandr 1.4.1, libXrender 0.9.8, libXRes 1.0.7, libXv 1.0.8, libXvMC 1.0.8, libXxf86dga 1.1.4, libXxf86vm 1.1.3, libdmx 1.1.3, libxcb 1.9.1, libFS 1.0.5, libXt 1.1.4.

Дополнение: Выявивший уязвимости исследователь выступил с докладом (PPT) на конференции CanSecWest, в котором рассказал о печальном состоянии безопасности в используемых в Linux десктоп-системах и указал на некоторые другие уязвимости (детали не раскрываются до момента устранения проблем в основных проектах) в различных библиотеках и компонентах десктоп-окружений, в том числе затрагивающих DBus, KDE/Qt и GNOME/GTK+

  1. Главная ссылка к новости (http://lists.x.org/archives/xo...)
  2. OpenNews: Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвимости
  3. OpenNews: Локальная уязвимость в X.Org
  4. OpenNews: Локальная Root-уязвимость в X.Org
  5. OpenNews: Семь серьезных уязвимостей в X.Org
  6. OpenNews: Четыре новые уязвимости в X.Org
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: x11, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Zenitur (ok), 20:36, 23/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Вот это улов. В предыдущие разы (кстати, можно добавить "Похожие новости") одна или две уязвимости описаны, но 30 за раз - я такого не видел в иксах. В Java и в браузерах только помню.

    Ну и щас конечно же какой-нибудь важный человек выскажется о том, что "в свете последних событий необходимо как можно быстрее закончить работу над Wayland и прекратить поддержку X.org". Может, они специально добавили уязвимости пару месяцев назад, чтобы потом героически их закрыть?

     
     
  • 2.3, Аноним (-), 20:40, 23/05/2013 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Обычно это происходит так. Всем на всё наплевать и это продолжается годы. Но вот тут на горизонте появляется чудесный человек, которому (пока) не всё равно. Этот человек с большим оптимизмом знанием дела подходит к проблеме и героически её решает. Далее его энтузиазм заканчивается и всё повторяется по кругу.
     
     
  • 3.13, Аноним (-), 21:50, 23/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Этим человеком был
    > Ilja van Sprundel, a security researcher with IOActive
     
  • 3.17, Карбофос (ok), 22:21, 23/05/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    мои тикеты они год обрабатывали. пару раз действительно критично, около десятка - чтение конфигов: небольшие утечки памяти, хрень с указателями. печально от того, что так долго. может дела быстрее пойдут, если готовые патчи людям давать. в этом проекте не пробовал ещё.
     
     
  • 4.19, Аноним (-), 22:30, 23/05/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Раструби лучше об этой уязвимости на каком-нибудь форуме. Так привлечёшь внимание к проблеме, может и патч быстрее примут.
     
     
  • 5.22, Карбофос (ok), 22:42, 23/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Шурик, вы комсомолец? Это же не наш метод! (с) "Операция "Ы"
     
     
  • 6.28, Аноним (-), 00:04, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Надо, Федя, надо. (оттуда же)
     
  • 6.34, Аноним (-), 01:33, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Шурик, вы комсомолец? Это же не наш метод! (с) "Операция "Ы"

    Если вы заинтересованы в том, чтобы дыру как можно дольше не закрывали - то да.
    А если наоборот - вполне себе правильный метод.

    // Чтобы в дальнейшем не писать подобных глупостей, познакомьтесь немного с матчастью и принципами работы безопасников, например, oogleonlinesecurity.blogspot.ru/2010/07/rebooting-responsible-disclosure-focus.html

     
     
  • 7.35, Аноним (-), 01:35, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    http://googleonlinesecurity.blogspot.ru/2010/07/rebooting-responsible-disclos
    // поправил ссылку
     
  • 7.56, Карбофос (ok), 01:10, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >не писать подобных глупостей, познакомьтесь немного с матчастью

    не учите меня жить, лучше помогите материально. Ильф и Петров, "12 стульев".

     
  • 4.25, Сергей (??), 23:22, 23/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  может дела быстрее пойдут, если готовые патчи людям давать

    Однозначно.

     
     
  • 5.53, Аноним (-), 18:36, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>  может дела быстрее пойдут, если готовые патчи людям давать
    > Однозначно.

    Это сильно от людей зависит. Иногда совсем не однозначно - как было пофиг, так и будет.

     

  • 1.2, Аноним (-), 20:39, 23/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для 1.12 фикс выйдет?
     
     
  • 2.5, Аноним (-), 20:56, 23/05/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Уязвимости не в сервере же.
     

  • 1.10, Аноним (-), 21:15, 23/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    нет, неуязвимого кода не существует.
     
     
  • 2.12, Аноним (-), 21:33, 23/05/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > нет, неуязвимого кода не существует.

    Верно, но время от времени стоит пересматривать свой код и менять его в лучшую сторону. Некоторые изменения невозможны без переделки фундамента кодовой базы, и пренебрежение этим фактом приводит к тому, что такой проект рано или поздно заменит тот в котором, решились переделать те или иные фундаментальные недостатки. Повышается опыт, меняется подход к реализации тех или иных задач.

     
     
  • 3.41, Аноним (-), 01:50, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Вы рассуждаете вполне логично Но, тем не менее, большинство людей с вами не сог... текст свёрнут, показать
     
  • 2.29, Аноним (-), 00:07, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > нет, неуязвимого кода не существует.

    Вызов принят.
    [code]
    int main(){
      while(1); /* не делаю return 0, ибо программа может запускаться в качестве ядра, в коем случае возвращать ноль будет некуда */
    }
    [/code]
    Готово! Можете уязвлять.

     
     
  • 3.31, Аноним (-), 00:24, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Готово! Можете уязвлять.

    Зачем его уязвлять? Он сам себя уязвил: жрет проц в полку не делая ничего полезного. Лайт-версия атаки на отказ в обслуживании.

     
     
  • 4.57, Аноним (-), 12:44, 26/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    xkill в помощь
     
  • 2.38, Аноним (-), 01:40, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > нет, неуязвимого кода не существует.

    Существует. Но он, к сожалению, бесполезен.

    Например, неузявимым по определению является код, который не работает.
    Как grsecurity - попробуй ломани систему, у которой ядро перманентно паникует.

     

  • 1.14, iZEN (ok), 21:54, 23/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –14 +/
    А всё почему? А всё потому, что за написание программ-ломщиков, выявляющих и использующих уязвимости в ПО, в законодательстве большинства стран предусмотрено уголовное наказание. Из-за этого создатели таких программ не спешат делится ценной информацией по обнаруженным уязвимостям с производителями ПО — за демонстрацию использования выявленной уязвимости можешь угодить за решётку.
     
     
  • 2.20, Аноним (-), 22:32, 23/05/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > А всё почему? А всё потому, что за написание программ-ломщиков, выявляющих и
    > использующих уязвимости в ПО, в законодательстве большинства стран предусмотрено уголовное
    > наказание. Из-за этого создатели таких программ не спешат делится ценной информацией
    > по обнаруженным уязвимостям с производителями ПО — за демонстрацию использования
    > выявленной уязвимости можешь угодить за решётку.

    Да уж, такой глупости я еще не слышал. Теперь ясно, почему некоторые пренебрегают отладочным режимом для своих программ. ПО может помочь в той или иной задаче, но думать за вас оно не будет. Уязвимости не запрещено находить, запрещено их использовать для причинения различного вреда.

     
     
  • 3.37, Аноним (-), 01:37, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да уж, такой глупости я еще не слышал. Теперь ясно, почему некоторые
    > пренебрегают отладочным режимом для своих программ. ПО может помочь в той
    > или иной задаче, но думать за вас оно не будет. Уязвимости
    > не запрещено находить, запрещено их использовать для причинения различного вреда.

    Запрещено-не запрещено, а некоторые эффективные менеджеры за один факт нахождения могут в суд подать. А закон, как известно, что дышло - кто больше судье заплатил, тому и вышло.

     
     
  • 4.42, arisu (ok), 02:28, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > некоторые эффективные менеджеры за один факт нахождения могут в суд подать.

    очень хочу знать, у кого из них есть телепатор, раз они могут подать в суд за «факт нахождения». я тоже пойду туда работать и попрошу, чтобы меня к телепатору приписали.

     
     
  • 5.50, Аноним (-), 18:32, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Найти и никому не говорить - скучно. Даже в суд никто не подаст.
     
  • 2.21, Карбофос (ok), 22:41, 23/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ты ВООБЩЕ не в курсе дел. даже не в курсе положения дел в open source. грусть-печаль.
     
     
     
    Часть нити удалена модератором

  • 4.44, цирроз (ok), 09:27, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >ни кто

    что, такие ошибки браузер не подчёркивает?

     

  • 1.33, Аноним (-), 01:29, 24/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Так как клиент и сервер в большинстве случаев выполняются на одной машине под одним пользователем или сервер работает с более высокими привилегиями, выявленные уязвимости не представляют большой опасности.

    ЛПП. Как минимум CVE-2013-2003 (переполнение буфера в libXcursor) - это тривиальный local root.
    http://www.securityfocus.com/bid/60121/discuss

     
     
  • 2.48, anonymousY (ok), 16:24, 24/05/2013 [^] [^^] [^^^] [ответить]  
  • +/

    Каким образом???
     

  • 1.47, Аноним (-), 14:50, 24/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О, как. То-то вижу, что в дебиан куча секьюрити-фиксов пришло.
     
  • 1.55, Int (?), 20:19, 24/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это они после публикации BSOD от рескайлинга окна в винде, решили проверить ?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру