forum.opennet.ru

"Опасная уязвимость в X.Org, присутствующая с 1991 года"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Опасная уязвимость в X.Org, присутствующая с 1991 года"	+1 +/–
Сообщение от Andrey Mitrofanov (?), 08-Янв-14, 16:58
> libxfont (1:1.4.7-1) unstable; urgency=high > * New upstream release > + CVE-2013-6462: unlimited sscanf overflows stack buffer in > bdfReadCharacters() > * Don't put dbg symbols from the udeb in the dbg package. > * dev package is no longer Multi-Arch: same (closes: #720026). > * Disable support for connecting to a font server. That code is horrible and > full of holes. А вот и время [чендж-лога] до секунды с тайм-зоной! +libxfont (1:1.4.7-1) unstable; + -- Julien Cristau <jcristau@debian.org> Tue, 07 Jan 2014 17:51:29 +0100 20:51:29 по MSK ---- Желающие посоресноваться могут заглянуть сюда: https://security-tracker.debian.org/tracker/CVE-2013-6462 В забеге участвуют версии squeeze =oldstable (security) и wheezy =stable (security) от 26 декабря. +libxfont (1:1.4.1-4) squeeze-security; urgency=high + * unlimited sscanf can overflow stack buffer in bdfReadCharacters() + -- Julien Cristau <jcristau@debian.org> Thu, 26 Dec 2013 21:36:57 +0100 +libxfont (1:1.4.5-3) wheezy-security; urgency=high + * unlimited sscanf can overflow stack buffer in bdfReadCharacters() + -- Julien Cristau <jcristau@debian.org> Thu, 26 Dec 2013 21:54:48 +0100 author Alan Coopersmith <alan.coopersmith@oracle.com> 2013-12-24 02:34:02 (GMT) committer Alan Coopersmith <alan.coopersmith@oracle.com> 2013-12-31 02:09:45 (GMT) Дебиановский патч ссылается аж на 17ое сентября +From b07483b605e77ea475b97d5dc829a7d5eb10a5d6 Mon Sep 17 00:00:00 2001 +From: Alan Coopersmith <alan.coopersmith@oracle.com> +Date: Mon, 23 Dec 2013 18:34:02 -0800
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Опасная уязвимость в X.Org, присутствующая с 1991 года, opennews, 08-Янв-14, 11:16 [смотреть все]

Ха АНБ Капитанствую насчёт того, что в любом софте вполне могут быть уязв, AlexAT, 08-Янв-14, 11:16 (1) //
- всё может быть, но сумлеваюсь гораздо проще и надёжнее встраивать недокументиро, Карбофос, 08-Янв-14, 14:21 (23) //
  - не только в железо, ещё в операционные системы с закрытым кодом , mitiok, 08-Янв-14, 15:14 (27) //
    - ну это хоть как особенно, если обфускацией все тёмные делишки прикрыть хотя, ф, Карбофос, 08-Янв-14, 15:52 (30)
      - Не бывает таких Бывают те, кро зарабатывают на закрытом и боятся угрозы , Аноним, 08-Янв-14, 16:08 (33)
        
        ой ли , Карбофос, 08-Янв-14, 17:56 (57)
        
        Ой Представляешь, есть много на свете, что тебе тоже трудно представить , Аноним, 08-Янв-14, 19:18 (64)
        
        камменты к этой новости почитайте, благо - далеко ходить не надо, и соизвольте у, Карбофос, 08-Янв-14, 20:09 (73)
    - Как показала практика, продукты с открытым исходным кодом тоже весьма надёжны дл, Тот_Самый_Анонимус, 08-Янв-14, 18:38 (60)
      - Это в тему открытый софт безопасный софт Короче, следи за собой, будь осторо, Ури, 08-Янв-14, 19:59 (71)
        
        Безопасного софта не существует, как и безбажного Но качество у открытого на по, rshadow, 09-Янв-14, 10:11 (107)
        
        Это какое качество, то что у гимпа против фотошопа Или опенофиса против мелкосо, Ури, 10-Янв-14, 00:24 (143)
      - Это аргумент из твоей новой методички, табуретка , Led, 09-Янв-14, 14:39 (122)
      - Примеры приведи, перефир ты наш просвещенный Или заткнись , Аноним, 09-Янв-14, 17:56 (136)
- Просто этой части кода никто не касался, и BDF не пользовался , АНГЫВНАГЫНВАШЩ, 09-Янв-14, 18:38 (139)
Xorg - зато с сетевой прозрачностью , Аноним, 08-Янв-14, 11:17 (2) //
- это скорее о мифах open source , linux must _RIP__, 08-Янв-14, 11:20 (3) //
  - каких , alltiptop, 08-Янв-14, 11:27 (5)
  - Миф Вы можете проприетарный продукт через cppcheck прогнать , RazrFalcon, 08-Янв-14, 11:34 (6) //
    - Он может только просто - прогнать, как и все опеннетовские MS-табуретки, Led, 09-Янв-14, 14:40 (124)
  - В закрытом продукте вы бы а вообще бы не узнали о такой уязвимости никогдаб не, Аноним, 08-Янв-14, 12:14 (9) //
    - 1 ее там бы нашли раньше2 есть много других статических анализаторов - качеств, linux must _RIP__, 08-Янв-14, 16:24 (39)
      - И чем другие анализаторы в вашем случаи помогут вам анализировать бинарную прогр, Inome, 08-Янв-14, 19:01 (62)
        
        стоит заглянуть на сайт коверти и посмотреть кто у них покупает лицензии Видимо, linux must _RIP__, 08-Янв-14, 22:32 (79)
        
        Разовью подтухшую дискуссию Если разраб знает о уязвимости, а остальные нет, то, inferrna, 09-Янв-14, 07:22 (99)
        
        чёрт, тогда программы просто переполнены бэкдорами особенно когда программист о, arisu, 09-Янв-14, 07:29 (100)
        
        Тут согласен, но начал не я , inferrna, 09-Янв-14, 09:47 (105)
      - Ее бы не нашли, а рассказали о ней нужным людям, а не писали на opennet , Мяут, 09-Янв-14, 09:53 (106)
      - Oh yea, вспоминается дырка с использованием ani файлов Уязвимы были все систем, XoRe, 09-Янв-14, 14:40 (123)
      - Даладна Тебе напомнить историю успеха заплаток Майкрософта И какими весел, Аноним, 09-Янв-14, 14:43 (125)
        
        Угумс Дыра в RPC DCOM RPC от обнаружения возможности DoS до заплатки - более , AlexAT, 09-Янв-14, 18:01 (138)
    - Может или не может - трудно сказать Я тоже могу так сказать может там ещё боле, Тот_Самый_Анонимус, 08-Янв-14, 18:40 (61)
  - Если посмотреть на реалии а не мифы, то на открытом проекте я могу прогнать cppc, Аноним, 08-Янв-14, 13:53 (17) //
    - и шиндошс тому пример , Khariton, 08-Янв-14, 15:54 (32)
      - это лишь говорит о том, что у мс нет стыда и совести -P, chinarulezzz, 08-Янв-14, 16:27 (40)
        
        бабло порождает зло заберите все бабло у мс и отдайте его гуглу и зло возродится, Khariton, 08-Янв-14, 16:32 (43)
        
        жадность порождает зло , chinarulezzz, 08-Янв-14, 16:46 (44)
      - Кстати, да Одна из уязвимостей в Windows проявлялась при загрузке wmf была об, Аноним, 08-Янв-14, 17:54 (56)
        
        была обнародована после утечки кода , arisu, 09-Янв-14, 04:28 (94)
    - Это называется средняя температура по больнице - то есть любой содержит 2 багов, pavlinux, 08-Янв-14, 16:59 (46)
      - никто и не говорил за всех, если тебя не упомянули в списке людей которым стыдно, Аноним, 08-Янв-14, 19:50 (70)
    - Если код открыт, то его проще использовать для всяких там нелицеприятных вещей , SergMarkov, 09-Янв-14, 01:34 (82)
      - Нуво отличнейший драйвер Уже года 4 на нем, полет нормальный Стим ос выйдет, т, rshadow, 09-Янв-14, 10:20 (108)
      - Нужно рассказать это авторам миллионов вирусов для виндовз А то мужики-то не зн, Аноним, 09-Янв-14, 14:54 (129)
- чтоб дыры были сразу remote, хрюкотающий зелюк, 08-Янв-14, 15:07 (26) //
  - ssh -Y user host firefox дыры ремотные, а вот ключик на ssh таки придётся искат, Куяврег, 08-Янв-14, 17:21 (51)
Дайте удобные инструменты воспользоваться этой уязвимостью а , Омский линуксоид, 08-Янв-14, 11:26 (4) //
- Скрипткиддисам - только за , извините, z, 08-Янв-14, 11:37 (7)
- apt-get install gcc xorg-dev , pavlinux, 08-Янв-14, 17:11 (47)
Надо бы ещё и шрифты в репозиториях проверить - а вдруг кто-то уже давно построи, www2, 08-Янв-14, 11:43 (8)
кто-то этим ещё пользуется Все давно же закопали исковые шрифты , all_glory_to_the_hypnotoad, 08-Янв-14, 12:32 (11) //
- Ну я Правда, там, где пользуюсь -- и так рутшелл на tty 2-4 болтается , Michael Shigorin, 08-Янв-14, 13:02 (14)
- Нукась, покаж непорезанный вывод lsof 124 grep libXfont, pavlinux, 08-Янв-14, 17:13 (48) //
  - lsof 124 grep libXfont видимо никто , Аноним, 08-Янв-14, 20:27 (74) //
    - Пичалька библиотека libXfont используется во всех вариантах X-серверов, в т, pavlinux, 08-Янв-14, 22:16 (76)
      - действительно ошибочкаsudo lsof 124 grep -i libXfontX 1711 , Аноним, 09-Янв-14, 04:49 (97)
        
        В этом-то вся фигня Грузилось бы не от рута, была бы не уязвимость, а просто ба, pavlinux, 09-Янв-14, 13:01 (113)
- Я ими пользуюсь У них есть, как минимум, 2 киллер-фичи 1 Независимость от кост, wulf, 08-Янв-14, 19:08 (63) //
  - Независимость от хорошего отображения идет в комплекте - , SergMarkov, 09-Янв-14, 01:35 (83) //
    - Гыыыыыыы Сразу чувствуется человек ничего не видевший кроме размытых федор и уб, wulf, 09-Янв-14, 13:29 (115)
      - Ностальгия по вшитым в ПЗУ шрифтам тоже идет в комплекте - Не надо считать шри, SergMarkov, 09-Янв-14, 13:43 (118)
        
        Не идет Есть, как минимум 4 фатальных недостатка, на примере VGA 1 Только моно, wulf, 09-Янв-14, 14:55 (130)
        
        Я согласен только с одним - когда яббло изобретет мониторы SuperHertina c разреш, SergMarkov, 09-Янв-14, 19:49 (140)
        
        12x22 прекрасно смотрится на нынешних дисплеях достаточно высокого разрешения в , Michael Shigorin, 10-Янв-14, 05:33 (146)
        
        Консольного шрифта в голой консоли имеется ввиду Может быть, откровенного говор, SergMarkov, 10-Янв-14, 14:45 (147)
        
        Виноват, это было легче понять именно так Подразумевал шрифта, используемого , Michael Shigorin, 11-Янв-14, 23:39 (154)
        
        О, так для таких как мы есть fbcon font SUN12x22 в параметрах ядра Для ядер , Led, 12-Янв-14, 00:51 (156)
      - Совершенно излишне, можно взять и самому http packages altlinux org ru sear, Michael Shigorin, 10-Янв-14, 05:31 (145)
        
        Утянул fonts-bitmap-cyr_rfx-iso10646-0400 - Классный в пакете список майнтейнеро, SergMarkov, 10-Янв-14, 14:49 (148)
        Михаил, Вы поражаете - Это называется Угадал все буквы но не смог прочитать с, wulf, 10-Янв-14, 23:28 (151)
        
        Чтобы не быть голословным, сделал скриншот с только битовыми шрифтами На скринш, wulf, 11-Янв-14, 00:48 (152)
        
        в первый раз за долгое время вижу нормальные шрифты на скриншотах а то я думал,, arisu, 11-Янв-14, 03:09 (153)
        
        Так было удобнее сослаться на всю группу сразу - А вот этого не знал, спасибо , Michael Shigorin, 11-Янв-14, 23:42 (155)
        
        Оставляю эту честь Вам Мне сначала надо проверить что эти патчи не только прису, wulf, 12-Янв-14, 14:18 (157)
        
        Добрался, добавил спасибо Это видно и по пакету http packages altlinux org en, Michael Shigorin, 15-Янв-14, 18:55 (158)
- отучаемся говорить за всю сеть , arisu, 09-Янв-14, 04:29 (95)
- бат вай - бат хау английский юморв смысле, а как этим пользоваться иксовые, бедный буратино, 08-Янв-14, 12:44 (12) //
- А иксовый клиент свои шрифты подпихнуть может , Аноним, 08-Янв-14, 13:56 (20)
- man xset, pavel_simple, 08-Янв-14, 14:40 (24)
Debian Обновления пришли незадолго до прочтения этой новости , Аноним, 08-Янв-14, 13:27 (15) //
- убунту обновления шрифтов также недавно пришли, Яйцассыром, 08-Янв-14, 14:13 (22)
- http packages altlinux org ru Sisyphus srpms libXfont changelog , Michael Shigorin, 08-Янв-14, 16:14 (37) //
  - Опасная уязвимость в X Org, присутствующая с 1991 года 8211 Сообщение о, Andrey Mitrofanov, 08-Янв-14, 16:19 (38) //
    - Потому что таков формат rpm changelog Наперегонки -- это к Шумахеру PS в смысл, Michael Shigorin, 08-Янв-14, 17:30 (53)
      - Нехорошо так говорить , Led, 09-Янв-14, 14:47 (127)
  - угу Только это нестабильная ветка, а в стабильнойBuilt almost 2 years agohttp , Аноним, 08-Янв-14, 18:16 (58) //
    - в то время как в дебиан уже давно бэкпортировали исправление , Аноним, 08-Янв-14, 18:23 (59)
    - Угу -- завтра cas проверит и отправит, думаю Соответственно в репозитории пос, Michael Shigorin, 09-Янв-14, 02:59 (90)
      - он один проверяет , Аноним, 09-Янв-14, 04:03 (92)
        
        Перед пропуском в стабильный бранч -- скорее да , Michael Shigorin, 09-Янв-14, 04:49 (98)
- мы все с нетерпением ждали, пока ты нам это расскажешь , arisu, 09-Янв-14, 04:31 (96)
Они первый раз что-ли cppcheck запустили , Аноним, 08-Янв-14, 14:05 (21) //
- Ну да а че, Аноним, 08-Янв-14, 15:47 (29)
- дауж это самое забавное, Аноним, 08-Янв-14, 16:12 (35)
Подтверждаю Есть такое обновление http www freshports org x11-fonts libXfont, iZEN, 08-Янв-14, 15:52 (31) //
- Не-не-не, дэвид блейн Твоим палёным портам мы верим ещё меньше, чем lists x org, Andrey Mitrofanov, 08-Янв-14, 16:11 (34)
libxfont 1 1 4 7-1 unstable urgency high New upstream release CVE-201, ip1981, 08-Янв-14, 16:28 (41) //
- -- Julien Cristau jcristau debian org Tue, 07 Jan 2014 17 51 29 0100, ip1981, 08-Янв-14, 16:30 (42)
- А вот и время чендж-лога до секунды с тайм-зоной libxfont 1 1 4 7-1 unstabl , Andrey Mitrofanov, 08-Янв-14, 16:58 (45) //
  - find usr share fonts -name bB dD fF Опа, опа, ганг-гам-стайл , pavlinux, 08-Янв-14, 17:26 (52) //
    - проспись, завтра на работу , Andrey Mitrofanov, 08-Янв-14, 17:32 (54)
      - tmp libXfont-1 4 7 src make CC dirfile lodirfile c In function Fon, pavlinux, 08-Янв-14, 17:41 (55)
С ужасом думаю, что же обнаружится, если прогнать через PVS - , Vkni, 08-Янв-14, 19:46 (69) //
- Ты что, pvs же проприетарщина Только открытый софт , Ури, 08-Янв-14, 20:04 (72) //
  - PVS просто дико неудобна для проверки X ов Именно из-за того, что код PVS закры, Vkni, 08-Янв-14, 20:50 (75)
В общем, я сделал по злому configure --disable-bdfformat --prefix usr --, pavlinux, 08-Янв-14, 22:19 (77) //
- Это че На зло маме отморо W W W поставил LFS , Аноним, 09-Янв-14, 00:49 (80) //
  - Ну а фигли, к тому же оптимизация под мой проц , pavlinux, 09-Янв-14, 02:09 (86) //
    - в гентах если что тоже обновили D зачем же лфсничать, Sylvia, 09-Янв-14, 03:31 (91)
      - мяу, Аноним, 09-Янв-14, 04:08 (93)
      - Зато ещё 4 варнинга закрыл см выше , pavlinux, 09-Янв-14, 12:57 (112)
Мда, проблемка-то старше меня и подовляющего большинства остальных анонимусов зд, Аноним, 09-Янв-14, 02:36 (87)
1 Многочисленные уязвимости безопасности в ядре Linux http securityvulns ru , linux must _RIP__, 09-Янв-14, 13:31 (116) //
- Многочисленные высеры MS-табуретки, вызванные хроническим батхэртом , Led, 09-Янв-14, 14:52 (128)
- Внимательно читаем до конца Оригинальный текст http securityvulns ru docs301, Аноним, 09-Янв-14, 15:28 (131)
- Вы процитировали http www ubuntu com usn usn-2075-1 Это сборное обновление к п, Аноним, 09-Янв-14, 17:26 (134)
- Баян Пока вы там бухали http www opennet ru opennews art shtml num 38768 48I, pavlinux, 09-Янв-14, 22:13 (142)
Нате вам http media ccc de browse congress 2013 30C3_-_5499_-_en_-_saal_1_-_2, iZEN, 09-Янв-14, 15:31 (132) //
- умиляют камменты всяких баранов, которые никогда не использовали, или почти не и, Карбофос, 09-Янв-14, 16:37 (133)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру