The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Опасная уязвимость в X.Org, присутствующая с 1991 года

08.01.2014 10:52

В библиотеке libXfont, входящей в состав X.Org и используемой в X-сервере, обнаружена опасная уязвимость (CVE-2013-6462), позволяющая организовать выполнение кода при обработке специально оформленного файла со шрифтом в формате BDF. Проблема была выявлена при проверке кода X.Org в статическом анализаторе cppcheck и связана с возможностью выхода за пределы выделенного буфера при наличии в BDF строк большого размера.

Проблему усугубляет то, что библиотека libXfont используется во всех вариантах X-серверов, в том числе том, что выполняется с правами пользователя root, что позволяет использовать данную уязвимость для повышения локальным пользователем своих привилегий в системе. Примечательно, что уязвимость появилась в кодовой базе ещё в мае 1991 года. Проблема исправлена в опубликованном сегодня выпуске libXfont 1.4.7.

  1. Главная ссылка к новости (http://lists.x.org/archives/xo...)
  2. OpenNews: В X.Org Server выявлена удалённая уязвимость, присутствующая с 1993 года
  3. OpenNews: В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: xorg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (121) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, AlexAT (ok), 11:16, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ха. АНБ? :)

    // Капитанствую насчёт того, что в любом софте вполне могут быть уязвимости, в т.ч. сознательно внедренные, остающиеся незамеченными десятки лет. //

     
     
  • 2.23, Карбофос (ok), 14:21, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    всё может быть, но сумлеваюсь. гораздо проще и надёжнее встраивать недокументированные возможности в железо.
     
     
  • 3.27, mitiok (??), 15:14, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +10 +/
    не только в железо, ещё в операционные системы с закрытым кодом.
     
     
  • 4.30, Карбофос (ok), 15:52, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну это хоть как. особенно, если обфускацией все тёмные делишки прикрыть. хотя, фанатичные закрытофилы об этом любят помалкивать
     
     
  • 5.33, Аноним (-), 16:08, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >фанатичные закрытофилы

    Не бывает таких. Бывают те, кро зарабатывают на закрытом и боятся угрозы...

     
     
  • 6.57, Карбофос (ok), 17:56, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ой ли!
     
     
  • 7.64, Аноним (-), 19:18, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ой ли!

    Ой. Представляешь, есть много на свете, что тебе тоже трудно представить.

     
     
  • 8.73, Карбофос (ok), 20:09, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    камменты к этой новости почитайте, благо - далеко ходить не надо, и соизвольте у... текст свёрнут, показать
     
  • 4.60, Тот_Самый_Анонимус (?), 18:38, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Как показала практика, продукты с открытым исходным кодом тоже весьма надёжны для всяких закладок. Надо просто умело делать вид, что уязвимость незаметна.

    Это надо же: со времён Союза живёт. Уже и архитектуры процессоров сменились, и перефирия мощнее компов той давности, а уязвимость только сейчас отловили.

     
     
  • 5.71, Ури (?), 19:59, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это в тему "открытый софт = безопасный софт".

    Короче, следи за собой, будь осторожен, товарищ!

     
     
  • 6.107, rshadow (ok), 10:11, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Безопасного софта не существует, как и безбажного. Но качество у открытого на порядок лучше. Тоже покапитанствую сегодня...
     
     
  • 7.143, Ури (?), 00:24, 10/01/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Это какое качество, то что у гимпа против фотошопа? Или опенофиса против мелкософтового? Или может открытые драйвера к видяхам круче блобов?
    А, нет, я знаю - у блендера против макса! :)

    Ох уж мне эти капитаны...

     
  • 5.122, Led (ok), 14:39, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как показала практика

    Это аргумент из твоей новой методички, табуретка?

     
  • 5.136, Аноним (-), 17:56, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Как показала практика, продукты с открытым исходным кодом тоже весьма надёжны для
    > всяких закладок. Надо просто умело делать вид, что уязвимость незаметна.
    > Это надо же: со времён Союза живёт. Уже и архитектуры процессоров сменились,
    > и перефирия мощнее компов той давности, а уязвимость только сейчас отловили.

    Примеры приведи, "перефир" ты наш просвещенный. Или заткнись.

     
  • 2.139, АНГЫВНАГЫНВАШЩ (?), 18:38, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Просто этой части кода никто не касался, и BDF не пользовался.
     

  • 1.2, Аноним (-), 11:17, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Xorg - зато с сетевой прозрачностью!
     
     
  • 2.3, linux must _RIP__ (?), 11:20, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –27 +/
    это скорее о мифах open source..
     
     
  • 3.5, alltiptop (ok), 11:27, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    каких?
     
  • 3.6, RazrFalcon (ok), 11:34, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +24 +/
    Миф?
    Вы можете проприетарный продукт через cppcheck прогнать?
     
     
  • 4.124, Led (ok), 14:40, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Вы можете проприетарный продукт через cppcheck прогнать?

    Он может только просто - прогнать, как и все опеннетовские MS-табуретки

     
  • 3.9, Аноним (-), 12:14, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +14 +/
    В закрытом продукте вы бы:
    а) вообще бы не узнали о такой уязвимости никогда
    б) не сможете прогнать его ч/з cppcheck.
     
     
  • 4.39, linux must _RIP__ (?), 16:24, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –17 +/
    1) ее там бы нашли раньше
    2) есть много других статических анализаторов - качеством получше cppcheck.
     
     
     
     
    Часть нити удалена модератором

  • 7.84, Аноним (-), 01:45, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И откуда ты знаешь, что программа которой ты пользуешься так проверена. Вот Windows 7 или 8 твою так кто-нибудь проверял, у тебя пруфлинк на это есть?
     
  • 7.85, Аноним (-), 01:54, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > в нормальных конторах - запуск статических анализаторов это не случайность как в xorg, а рутинный процесс - который выполняется раз в неделю.

    Ты в скольки "нормальных конторах" работал, чтобы делать такие выводы обо всех?

    Не смеши людей. Собирается, работает - вот и ладненько. А статические анализаторы и прочая хрень - это никому премию не увеличит. В проприетарщине люди работают не ради качества, а ради зарплаты.

     
  • 5.62, Inome (ok), 19:01, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И чем другие анализаторы в вашем случаи помогут вам анализировать бинарную программу ?
     
     
  • 6.79, linux must _RIP__ (?), 22:32, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И чем другие анализаторы в вашем случаи помогут вам анализировать бинарную программу
    > ?

    стоит заглянуть на сайт коверти и посмотреть кто у них покупает лицензии. Видимо они все анализируют свой бинарный блоб..

     
     
  • 7.99, inferrna (ok), 07:22, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разовью подтухшую дискуссию. Если разраб знает о уязвимости, а остальные нет, то это бэкдор. Оставить или закрыть - дело его доброй воли. Если известные всем дыры в жабе и оффтопике не закрываются месяцами, а то и годами, значит это кому-нибудь нужно, кому-нибудь, кто знал о дырах заранее и согласование закрытия дыр с этим кем-нибудь суть долгая бюрократическая процедура.
    С другой стороны, никто не мешает тебе, рандомному Васе Пупкину, воспользоваться платным проприерастным анализатором кода для поиска дыр в опенсорсном проекте. Фил зе дифференс.
     
     
  • 8.100, arisu (ok), 07:29, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    чёрт, тогда программы просто переполнены бэкдорами особенно когда программист о... текст свёрнут, показать
     
     
     
     
     
     
    Часть нити удалена модератором

  • 13.105, inferrna (ok), 09:47, 09/01/2014 [ответить]  
  • +/
    Тут согласен, но начал не я ... текст свёрнут, показать
     
  • 5.106, Мяут (ok), 09:53, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > 1) ее там бы нашли раньше

    Ее бы не нашли, а рассказали о ней нужным людям, а не писали на opennet.

     
  • 5.123, XoRe (ok), 14:40, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 1) ее там бы нашли раньше

    Oh yea, вспоминается дырка с использованием *.ani файлов.
    Уязвимы были все системы, с Windows NT по Windows Vista.
    http://www.phreedom.org/research/vulnerabilities/ani-header/

    > 2) есть много других статических анализаторов - качеством получше cppcheck.

    Ну с этим никто не спорит.
    Они, по факту, есть :)

     
  • 5.125, Аноним (-), 14:43, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > 1) ее там бы нашли раньше
    > 2) есть много других статических анализаторов - качеством получше cppcheck.

    Даладна... Тебе напомнить "историю успеха" заплаток Майкрософта? И какими "веселыми" историями из реальной жизни все это сопровождалось? Ага, проверяют они там, анализируют в поте лица, щаз. Расскажи еще чего-нибудь.

     
     
  • 6.138, AlexAT (ok), 18:01, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Угумс. Дыра в RPC (DCOM RPC) от обнаружения возможности DoS до заплатки - более 14 месяцев. В ответ на письма (сначала нормальные, потом - гневные, ибо студенты накропали массовый DoS'ер) мотивируют тем, что это только DoS, без эксплуатации - типа, закрывайте файрволом. Активный эксплоит - MS Blast (Blaster) - появился где-то месяце на 5-6... мсявным плевать, пока не перешло в эпидемию.

    С дырой в LSASS почти то же самое. От обнаружения до заплатки - 5 месяцев, Sasser появляется на 3-м, и портит очень много крови.

    А дальше через полтора года появляется семейство Pushdo/Cutwail, которое замечательно эксплоитит оба этих бага, и еще один новый в LSASS... ВНЕЗАПНО огромное количество систем всё еще уязвимо.

     
  • 4.61, Тот_Самый_Анонимус (?), 18:40, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >В закрытом продукте вы бы:
    >а) вообще бы не узнали о такой уязвимости никогда

    Может или не может - трудно сказать. Я тоже могу так сказать: может там ещё более древняя и опасная уязвимость есть, и всплывёт лет через сорок. Обратного доказать у вас не выдет, как и у меня.

     
  • 3.17, Аноним (-), 13:53, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > это скорее о мифах open source..

    Если посмотреть на реалии а не мифы, то на открытом проекте я могу прогнать cppcheck, а на закрытом - фига. В результате есть причина полагать что в целом качество открытого кода имеет тенденцию быть выше. К тому же хреновый код просто стыдно выкладывать бывает, знаете ли.

     
     
  • 4.32, Khariton (ok), 15:54, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> это скорее о мифах open source..
    > Если посмотреть на реалии а не мифы, то на открытом проекте я
    > могу прогнать cppcheck, а на закрытом - фига. В результате есть
    > причина полагать что в целом качество открытого кода имеет тенденцию быть
    > выше. К тому же хреновый код просто стыдно выкладывать бывает, знаете
    > ли.

    и шиндошс тому пример!!!)))

     
     
  • 5.40, chinarulezzz (ok), 16:27, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    это лишь говорит о том, что у мс нет стыда и совести :-P
     
     
  • 6.43, Khariton (ok), 16:32, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > это лишь говорит о том, что у мс нет стыда и совести
    > :-P

    бабло порождает зло!
    заберите все бабло у мс и отдайте его гуглу и зло возродится там!

     
     
  • 7.44, chinarulezzz (ok), 16:46, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> это лишь говорит о том, что у мс нет стыда и совести
    >> :-P
    > бабло порождает зло!
    > заберите все бабло у мс и отдайте его гуглу и зло возродится
    > там!

    жадность порождает зло :)

     
  • 5.56, Аноним (-), 17:54, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > и шиндошс тому пример!!!)))

    Кстати, да. Одна из уязвимостей в Windows (проявлялась при загрузке wmf) была обнаружена после утечки кода.

     
     
  • 6.94, arisu (ok), 04:28, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > была обнаружена после утечки кода.

    была *обнародована* после утечки кода.

     
  • 4.46, pavlinux (ok), 16:59, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В результате есть причина полагать что в целом качество открытого кода имеет тенденцию быть выше.

    Это называется средняя температура по больнице - то есть любой содержит 2% багов.

     
     
  • 5.70, Аноним (-), 19:50, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    никто и не говорил за всех, если тебя не упомянули в списке людей которым стыдно показывать корявый код, то это не повод искать виноватых
     
  • 4.82, SergMarkov (ok), 01:34, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> это скорее о мифах open source..
    > Если посмотреть на реалии а не мифы, то на открытом проекте я
    > могу прогнать cppcheck, а на закрытом - фига. В результате есть
    > причина полагать что в целом качество открытого кода имеет тенденцию быть
    > выше.

    Если код открыт,  то его проще использовать для всяких там нелицеприятных вещей. Попробуйте тоже самое сделать с кодом закрытым - затрат времени много больше. Авторы нуво блестящий пример - как не стараются реинженерить код нвидии, получается только .. :-)

     
     
  • 5.108, rshadow (ok), 10:20, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Авторы нуво блестящий пример

    Нуво отличнейший драйвер. Уже года 4 на нем, полет нормальный. Стим ос выйдет, тогда можно будет и о 3D задуматься...

     
  • 5.129, Аноним (-), 14:54, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если код открыт,  то его проще использовать для всяких там нелицеприятных вещей.
    > Попробуйте тоже самое сделать с кодом закрытым - затрат времени много больше.

    Нужно рассказать это авторам миллионов вирусов для виндовз. А то мужики-то не знают, пишут себе и пишут...

     
  • 2.26, хрюкотающий зелюк (?), 15:07, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Xorg - зато с сетевой прозрачностью!

    чтоб дыры были сразу remote

     
     
  • 3.51, Куяврег (?), 17:21, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Xorg - зато с сетевой прозрачностью!
    > чтоб дыры были сразу remote

    ssh -Y user@host 'firefox'

    дыры ремотные, а вот ключик на ssh таки придётся искать, такие дела,  да.

     

     ....большая нить свёрнута, показать (32)

  • 1.4, Омский линуксоид (ok), 11:26, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Дайте удобные инструменты воспользоваться этой уязвимостью? а?
     
     
  • 2.7, z (??), 11:37, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Скрипткиддисам - только за $$$$, извините
     
  • 2.47, pavlinux (ok), 17:11, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Дайте удобные инструменты воспользоваться этой уязвимостью? а?

    apt-get install gcc xorg-dev

     

  • 1.8, www2 (ok), 11:43, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо бы ещё и шрифты в репозиториях проверить - а вдруг кто-то уже давно построил ботнет на Linux-десктопах ;)
     
  • 1.11, all_glory_to_the_hypnotoad (ok), 12:32, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > libXfont

    кто-то этим ещё пользуется? Все давно же закопали исковые шрифты.

     
     
  • 2.14, Michael Shigorin (ok), 13:02, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> libXfont
    > кто-то этим ещё пользуется? Все давно же закопали исковые шрифты.

    Ну я.  Правда, там, где пользуюсь -- и так рутшелл на tty[2-4] болтается.

     
  • 2.48, pavlinux (ok), 17:13, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> libXfont
    > кто-то этим ещё пользуется? Все давно же закопали исковые шрифты.

    Нукась, покаж непорезанный вывод

    # lsof | grep libXfont

     
     
  • 3.74, Аноним (-), 20:27, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    $ lsof | grep libXfont
    $
    видимо никто.
     
     
  • 4.76, pavlinux (ok), 22:16, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пичалька

    "... библиотека libXfont используется во всех вариантах X-серверов, в том числе том, что выполняется с правами пользователя root ..."

    От рута пускай lsof

     
     
  • 5.97, Аноним (-), 04:49, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    действительно ошибочка
    sudo lsof | grep -i libXfont
    X         1711            root  mem       REG      253,4     221776    1183667 /usr/lib/libXfont.so.1.4.1
     
     
  • 6.113, pavlinux (ok), 13:01, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В этом-то вся фигня. Грузилось бы не от рута, была бы не уязвимость, а просто баг.
     
  • 2.63, wulf (ok), 19:08, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > кто-то этим ещё пользуется? Все давно же закопали исковые шрифты.

    Я ими пользуюсь. У них есть, как минимум, 2 киллер-фичи:

    1. Независимость от костыля под названием "хинтинг"
    2. Хорошие гарнитуры "adobe-helvetica" и "misc-fixed" почти "искаропки"

     
     
  • 3.83, SergMarkov (ok), 01:35, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> кто-то этим ещё пользуется? Все давно же закопали исковые шрифты.
    > Я ими пользуюсь. У них есть, как минимум, 2 киллер-фичи:
    > 1. Независимость от костыля под названием "хинтинг"

    Независимость от хорошего отображения идет в комплекте :-)

     
     
  • 4.115, wulf (ok), 13:29, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Гыыыыыыы Сразу чувствуется человек ничего не видевший кроме размытых федор и уб... текст свёрнут, показать
     
     
  • 5.118, SergMarkov (ok), 13:43, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ностальгия по вшитым в ПЗУ шрифтам тоже идет в комплекте? :-)
    Не надо считать шрифтовиков за идиотов - люди десятилетиями стараются сделать их лучше, чем битовая хренотень.
    Helvetica хороший шрифт, но уже давно есть и получше
     
     
  • 6.130, wulf (ok), 14:55, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не идет Есть, как минимум 4 фатальных недостатка, на примере VGA 1 Только мон... текст свёрнут, показать
     
     
  • 7.140, SergMarkov (ok), 19:49, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я согласен только с одним - когда яббло изобретет мониторы SuperHertina c разрешением 20000*10000, то битовые шрифты будут иметь преимущества, но сейчас нет, и именно из-за недостатки техники, а вовсе не потому что они изначально корявые. Все эти методы улучшения придуманы только из-за недостатков техники, а не из-за недостатков самих шрифтов, но эти улучшалки бесполезно применять к битовым шрифтам и другой техники сейчас нет.
     
     
  • 8.146, Michael Shigorin (ok), 05:33, 10/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    12x22 прекрасно смотрится на нынешних дисплеях достаточно высокого разрешения в ... текст свёрнут, показать
     
     
  • 9.147, SergMarkov (ok), 14:45, 10/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Консольного шрифта в голой консоли имеется ввиду Может быть, откровенного говор... текст свёрнут, показать
     
     
  • 10.154, Michael Shigorin (ok), 23:39, 11/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Виноват, это было легче понять именно так Подразумевал шрифта, используемого ... текст свёрнут, показать
     
  • 9.156, Led (ok), 00:51, 12/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    О, так для таких как мы есть fbcon font SUN12x22 в параметрах ядра Для ядер ... текст свёрнут, показать
     
  • 5.145, Michael Shigorin (ok), 05:31, 10/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. Попросить Шигорина отсыпать чуток Альту.

    Совершенно излишне, можно взять и самому. :)

    > В нем в битовые шрифты, по крайней мере раньше,  были включены кириллические глифы
    > для стандартных x-шрифтов, когда-то готовившиеся Болховитяновым для включения
    > в на тот момент еще XFree, но так и не попавшие туда.

    http://packages.altlinux.org/ru/search?query=fonts-bitmap-cyr_rfx

    > 3. Настроить X-ы проглотить шрифты из п.1

    В альте сами.  Странно, почему-то не вижу rfx в дебиане.

    > P.S. Размытые символы в интерфейсах пользовательских программ я считаю шагом в сторону

    На эту тему знаю, что у разных людей глаза разные...

     
     
  • 6.148, SergMarkov (ok), 14:49, 10/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> 1. Попросить Шигорина отсыпать чуток Альту.
    > Совершенно излишне, можно взять и самому. :)

    Утянул fonts-bitmap-cyr_rfx-iso10646-0400
    :-)
    Классный в пакете список майнтейнеров..

    Список всех майнтейнеров, принимавших участие
    в данной и/или предыдущих сборках пакета:

    ALT QA Team Robot

    Alexey Dyachenko
    Игорь Власенко

    :-)

     
  • 6.151, wulf (ok), 23:28, 10/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > http://packages.altlinux.org/ru/search?query=fonts-bitmap-cyr_rfx

    Михаил, Вы поражаете :-) Это называется "Угадал все буквы но не смог прочитать слово".
    Конечно я имел ввиду шрифты cyr_rfx, но не в виде в котором их выложил автор, т.е. набора кириллических символов для iso10646-0400. В таком виде они присутствуют во многих дистрибутивах. Подразумевались то, что в альте их интегрировали непосредственно в стандартные x-овые шрифты, как это должно было бы случится в случае несостоявшегося вливания в XFree. Смотри набор патчей к http://packages.altlinux.org/ru/Sisyphus/srpms/fonts-bitmap-75dpi . А вот этого уже в других дистрибутивах, насколько я знаю, нету :-)

     
     
  • 7.152, wulf (ok), 00:48, 11/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы не быть голословным, сделал скриншот с только битовыми шрифтами. На скриншоте wireshark (gtk2), virtualbox (qt4), urxvt (pure xlib). В фоне, правда, firefox с MS-овскими ttf-ами, но это я изменить не могу. 99,9% веба верстается именно под них.

    http://postimg.org/image/v5ijoqjn1/full/

     
     
  • 8.153, arisu (ok), 03:09, 11/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    в первый раз за долгое время вижу нормальные шрифты на скриншотах а то я думал,... текст свёрнут, показать
     
  • 7.155, Michael Shigorin (ok), 23:42, 11/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это называется "Угадал все буквы но не смог прочитать слово".

    Так было удобнее сослаться на всю группу сразу :-)

    > Подразумевались то, что в альте их интегрировали непосредственно в стандартные x-овые
    > шрифты, как это должно было бы случится в случае несостоявшегося вливания в XFree.

    А вот этого не знал, спасибо.  Может, добавите своей рукой к страничке http://www.altlinux.org/Features?

     
     
  • 8.157, wulf (ok), 14:18, 12/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Оставляю эту честь Вам Мне сначала надо проверить что эти патчи не только прису... текст свёрнут, показать
     
     
  • 9.158, Michael Shigorin (ok), 18:55, 15/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Добрался, добавил спасибо Это видно и по пакету http packages altlinux org ... текст свёрнут, показать
     
  • 2.95, arisu (ok), 04:29, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Все давно же закопали исковые шрифты.

    отучаемся говорить за всю сеть.

     

     ....большая нить свёрнута, показать (25)

  • 1.12, бедный буратино (ok), 12:44, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    - бат вай?
    - бат хау?

    // английский юмор

    в смысле, а как этим пользоваться? иксовые шрифты ставятся один раз, и на всю жизнь.

     
     
  • 2.20, Аноним (-), 13:56, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в смысле, а как этим пользоваться? иксовые шрифты ставятся один раз,

    А иксовый клиент свои шрифты подпихнуть может?

     
  • 2.24, pavel_simple (ok), 14:40, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    man xset
     

  • 1.15, Аноним (-), 13:27, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Debian. Обновления пришли незадолго до прочтения этой новости.
     
     
  • 2.22, Яйцассыром (?), 14:13, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    убунту. обновления шрифтов также недавно пришли
     
  • 2.37, Michael Shigorin (ok), 16:14, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Debian. Обновления пришли незадолго до прочтения этой новости.

    http://packages.altlinux.org/ru/Sisyphus/srpms/libXfont/changelog :)

     
     
  • 3.38, Andrey Mitrofanov (?), 16:19, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> незадолго до прочтения этой новости.

    "Опасная уязвимость в X.Org, присутствующая с 1991 года" +/–
    Сообщение от opennews (ok) on 08-Янв-14, 11:16

    (tz по всей видимости MSK)

    >packages.altlinux.org/ru/Sisyphus/srpms/libXfont/changelog :)

    Миша, а почему там (на странице) нет _времени_, а только дата? Если уж *наперегонки*, то и время с секундной скоростью, и тайм-зону. И не время чендж-лога, а время аплоада?

     
     
  • 4.53, Michael Shigorin (ok), 17:30, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>packages.altlinux.org/ru/Sisyphus/srpms/libXfont/changelog :)
    > Миша, а почему там (на странице) нет _времени_, а только дата?

    Потому что таков формат rpm %changelog.

    > Если уж *наперегонки*, то и время с секундной скоростью, и тайм-зону.

    Наперегонки -- это к Шумахеру.

    PS: в смысле это было "me too". :)

    > И не время чендж-лога, а время аплоада?

    http://git.altlinux.org/tasks/archive/done/_108/111475/logs/events.1.1.log (UTC)
    https://bugzilla.altlinux.org/show_bug.cgi?id=19202

     
     
  • 5.127, Led (ok), 14:47, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Наперегонки -- это к Шумахеру.

    Нехорошо так говорить.

     
  • 3.58, Аноним (-), 18:16, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    угу. Только это нестабильная ветка, а в стабильной
    Built: almost 2 years ago
    http://packages.altlinux.org/en/p7/srpms/libXfont
     
     
  • 4.59, Аноним (-), 18:23, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    в то время как в дебиан уже давно бэкпортировали исправление.
     
  • 4.90, Michael Shigorin (ok), 02:59, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > угу. Только это нестабильная ветка, а в стабильной
    > Built: almost 2 years ago

    Угу -- завтра cas@ проверит и отправит, думаю.  Соответственно в репозитории послезавтра.

     
     
  • 5.92, Аноним (-), 04:03, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    он один проверяет?
     
     
  • 6.98, Michael Shigorin (ok), 04:49, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > он один проверяет?

    Перед пропуском в стабильный бранч -- скорее да.

     
  • 2.96, arisu (ok), 04:31, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Debian. Обновления пришли незадолго до прочтения этой новости.

    мы все с нетерпением ждали, пока ты нам это расскажешь.

     

  • 1.21, Аноним (-), 14:05, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Они первый раз что-ли cppcheck запустили?
     
     
  • 2.29, Аноним (-), 15:47, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да а че
     
  • 2.35, Аноним (-), 16:12, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    дауж это самое забавное
     

  • 1.31, iZEN (ok), 15:52, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Подтверждаю. Есть такое обновление: http://www.freshports.org/x11-fonts/libXfont/
     
     
  • 2.34, Andrey Mitrofanov (?), 16:11, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Подтверждаю. Есть такое обновление: http://www.freshports.org/x11-fonts/libXfont/

    Не-не-не, дэвид блейн. Твоим палёным портам мы верим ещё меньше, чем lists.x.org и git.fd.o. От тебя - ни коммита, ни ссылки! А то потом паники ядра начнём запретом версий джаввы "лечить". >/<

     

  • 1.41, ip1981 (ok), 16:28, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    libxfont (1:1.4.7-1) unstable; urgency=high

      * New upstream release
        + CVE-2013-6462: unlimited sscanf overflows stack buffer in
          bdfReadCharacters()
      * Don't put dbg symbols from the udeb in the dbg package.
      * dev package is no longer Multi-Arch: same (closes: #720026).
      * Disable support for connecting to a font server.  That code is horrible and
        full of holes.

     
     
  • 2.42, ip1981 (ok), 16:30, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/

    -- Julien Cristau <jcristau@debian.org>  Tue, 07 Jan 2014 17:51:29 +0100
     
  • 2.45, Andrey Mitrofanov (?), 16:58, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот и время чендж-лога до секунды с тайм-зоной libxfont 1 1 4 7-1 unstab... текст свёрнут, показать
     
     
  • 3.52, pavlinux (ok), 17:26, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    $ find /usr/share/fonts -name \*.[bB][dD][fF]
    $

    Опа, опа, ганг-гам-стайл...  

     
     
  • 4.54, Andrey Mitrofanov (?), 17:32, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Как жить, Митрофаныч?!

    проспись, завтра на работу.

     
     
  • 5.55, pavlinux (ok), 17:41, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    tmp libXfont-1 4 7 src make CC dirfile lo dirfile c In function ... текст свёрнут, показать
     

  • 1.69, Vkni (ok), 19:46, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С ужасом думаю, что же обнаружится, если прогнать через PVS. :-)
     
     
  • 2.72, Ури (?), 20:04, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты что, pvs же проприетарщина! Только открытый софт.
     
     
  • 3.75, Vkni (ok), 20:50, 08/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты что, pvs же проприетарщина! Только открытый софт.

    PVS просто дико неудобна для проверки X'ов. Именно из-за того, что код PVS закрыт.

     

  • 1.77, pavlinux (ok), 22:19, 08/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    В общем, я сделал по злому :)

    $ ./configure --disable-bdfformat --prefix=/usr --libdir=/usr/lib64; make; make install;

    Ну а чё, ни одного BDF шрифта не нашёл, накой хрен оно нужно.

     
     
  • 2.80, Аноним (-), 00:49, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > $ ./configure --disable-bdfformat --prefix=/usr --libdir=/usr/lib64; make; make install;

    Это че? На зло маме отморо^W^W^W поставил LFS?

     
     
  • 3.86, pavlinux (ok), 02:09, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну а фигли, к тому же оптимизация под мой проц.  
     
     
  • 4.91, Sylvia (ok), 03:31, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в гентах если что тоже обновили ;D зачем же лфсничать
     
     
  • 5.93, Аноним (-), 04:08, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    мяу
     
  • 5.112, pavlinux (ok), 12:57, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Зато ещё 4 варнинга закрыл (см. выше)
     

  • 1.87, Аноним (-), 02:36, 09/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Мда, проблемка-то старше меня и подовляющего большинства остальных анонимусов здеся.
     
  • 1.116, linux must _RIP__ (?), 13:31, 09/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    1. Многочисленные уязвимости безопасности в ядре Linux
      http://securityvulns.ru/news/Linux/kernel/1401.html
      Опубликовано: 8 января 2014 г.
      Источник:     BUGTRAQ
      Тип:          библиотека
      Опасность:    9
      Описание:     Утечка информации в ptrace, повышение привилегий через функции
                     отладки, слабый PRNG генератор в cprng, DoS в сетевом
                     функционале, многочисленные целочисленные переполнения,
                     переполнения буфера в драйверах USB, WiMax и других
                     устройств, кратковременные условия в реализации shared
                     memory, неиницилизированная память в UDP fragmentation
                     offload.
      Продукты:     LINUX: kernel 2.6
                    LINUX: kernel 3.11
                    LINUX: kernel 3.12
     
     
  • 2.128, Led (ok), 14:52, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Многочисленные высеры MS-табуретки, вызванные хроническим батхэртом.
     
  • 2.131, Аноним (-), 15:28, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > http://securityvulns.ru/news/Linux/kernel/1401.html

    Внимательно читаем до конца.
    Оригинальный текст: http://securityvulns.ru/docs30152.html

    "The problem can be corrected by updating your system to the following
    package versions:

    Ubuntu 13.10:
    linux-image-3.11.0-15-generic   3.11.0-15.23
    linux-image-3.11.0-15-generic-lpae  3.11.0-15.23"

    Усё. Закрыто.
    Поищи еще чего-нибудь. :)

     
  • 2.134, Аноним (-), 17:26, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вы процитировали http://www.ubuntu.com/usn/usn-2075-1/

    Это сборное обновление к пакету с ядром из состава Ubuntu 13.10, там собраны дыры за несколько месяцев. Например, CVE-2013-2929 поправлена ещё в апреле прошлого года. Все уязвимости минорные (в secunia им присвоен минимальный уровень опасности), т.е. в лучшем случае DoS или возможность получить значения пары байт памяти ядра. Поэтому для пакета их так много накопили, так как нет смысла без повода дергать пользователей ребутить систему.

     
  • 2.142, pavlinux (ok), 22:13, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 1. Многочисленные уязвимости безопасности в ядре Linux
    >   http://securityvulns.ru/news/Linux/kernel/1401.html
    >   Опубликовано: 8 января 2014 г.
    >   Источник:     BUGTRAQ

    Баян! Пока вы там бухали!

    https://www.opennet.ru/opennews/art.shtml?num=38768#48

    > Описание:  

    IPIP - юзают все! ,
    UDP_CORK - если найдёшь софт где оно ваще есть.
    Alchemy LCD frame-buffer drivers - в каждом доме
    WiMax - так ваще у каждого.
    AACRAID - как же без него.
    Ну и конечно же PTRACE на IA64


    > неиницилизированная память в UDP fragmentation offload.

    Пля, пичаль. У меня юзается патчик который спецом отрубает инициализацию памяти.  

     

  • 1.132, iZEN (ok), 15:31, 09/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Нате вам: http://media.ccc.de/browse/congress/2013/30C3_-_5499_-_en_-_saal_1_-_20131229
    - "In the past couple of months I've found 120 bugs there, and I'm not close to done."

    Обсуждение: http://www.rsdn.ru/forum/flame.comp/5422197.all

     
     
  • 2.133, Карбофос (ok), 16:37, 09/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    умиляют камменты всяких баранов, которые никогда не использовали, или почти не использовали cppcheck. у этой утилиты может быть множество ложных срабатываний. например, если инициализация структуры выносится в отдельную подпрограмму. и некоторые другие тонкости. зато такие "спецы" начинают сразу разводить словесный понос, важно почёсывая своё ЧСВ
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру