The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление X.Org Server 1.19.5 с исправлением уязвимостей

13.10.2017 09:33

Представлен корректирующий выпуск X.Org Server 1.19.5, в котором устранены пять уязвимостей: отсутствие проверки на границы буфера в xfixes, Xi ProcXIChangeHierarchy и ProcEstablishConnection (CVE-2017-12183, CVE-2017-12178, CVE-2017-12176), целочисленные переполнения в Xi ProcXIBarrierReleasePointer и dbe ProcDbeGetVisualInfo (CVE-2017-12177).

  1. Главная ссылка к новости (https://lists.x.org/archives/x...)
  2. OpenNews: Выпуск X.Org Server 1.19.4 с исправлением уязвимостей
  3. OpenNews: Вышел X.Org Server 1.19
  4. OpenNews: Вышел X.Org Server 1.18
  5. OpenNews: Участники проекта X.Org проголосовали за присоединение к организации SPI
  6. OpenNews: Серия уязвимостей в клиентских библиотеках X.Org
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: xorg, xserver
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:13, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –24 +/
    Иксам пора на покой. Сетевая прозрачность оказалась никому не нужна (кроме тебя да-да, конечто ЖЕ, мой юный оппонент, отписавшийся ниже)
     
     
  • 2.2, 2018 Year of Linux on Desktops (?), 14:25, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Да, только Микрософт немедленно проплатила Нвидии, и та стала придумывать всякую чушь типа ЕГЛстримов, чтобы как можно дольше задерживать пришествие Вейленда, пока Микрософт окончательно не придумает, как уничтожить Линукс.
     
  • 2.3, Ilya Indigo (ok), 14:43, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Иксы живее всех живых, и ещё долго будут жить, хотя бы по тому, что у них до сих пор нет стабильной и рабочей альтернативы на десктопах!
     
     
  • 3.9, _ (??), 16:46, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вот потому их и душат :(
     
     
  • 4.41, Аноним (-), 00:10, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да Когда Sun обанкротился, руководство Red Hat охватила паника Гляньте даты со... текст свёрнут, показать
     
     
  • 5.43, 0x0 (?), 00:25, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ой, да! Sun обанкротился ))

    Можно и по другому сформулировать: те, кто держал эту фабрику сочли, что достаточно на ней заработали и дальше всё пойдёт только в минуса. Сгребли под мышки снятые сливки и пошли искать новые прииски, а отработанный материал даже в унитаз спустить побрезговали :)

     
  • 2.57, Аноним (-), 07:35, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > На моём локалхосте сетевая прозрачность не нужна.

    fxd, не благодари.

     
  • 2.68, Fyjy (?), 19:13, 16/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эта прозрачность бы еще работала. А так один пшик, а реальных проблем хваает.
     
     
  • 3.70, Led (ok), 20:08, 16/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Эта прозрачность бы еще работала. А так один пшик, а реальных проблем
    > хваает.

    Ну ты же в классе реальный пацан - вот и проблемы у реальные.

     
  • 3.75, Аноним (-), 14:26, 19/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Реально работает. Попробуй запусти на удалённом компе отдельно взятое приложение и отобразить вывод на локальном.

    PS Не надо тут прививодить примеры удалённого доступа к рабочему столу. Речь о запуске одного единственного приложения, даже если на удалённом компе нет вообще никакого DE.

     

  • 1.4, 0x0 (?), 16:02, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Phoronix: "К сожалению, это не первый раз, когда мы видим большую группу уязвимостей в X.Org и исследователи безопасности в прошлом, как правило, характеризовали безопасность X.Org такими словами как 'даже хуже, чем кажется'." (https://www.phoronix.com/scan.php?page=news_item&px=MTU1NzA)
     
     
  • 2.5, Andrey Mitrofanov (?), 16:07, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Phoronix:

    Ога, ога... "Это не первый раз, когда Микаэль гонит популистско-прогрессивистскую пургу. Исследователи интернетов в прошлом, как правило, характеризовали способы его оплаты счетов за электричество ...

    > такими словами как 'даже хуже, чем кажется'."

     
  • 2.10, _ (??), 16:48, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    0x0 - ты болен. Я серьёзно. Приводить форонигз в качестве экспертов в безопасности ... ты болен и серьёзно :(
     
  • 2.12, Аноним84701 (ok), 17:07, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > (https://www.phoronix.com/scan.php?page=news_item&px=MTU1NzA)
    > ... At the 30th Chaos Communication Congress (CCC) last week in Germany, ... can watch the CCC presentation video from the CCC.de web-site.

    Если бы еще кое-кто микаэльчатый удосужился различать Сhaos Communication Congress и Chaos Computer Club ... оно конечно и то и то – "ССС", однако "дьявол кроется в мелочах" ...

     
     
  • 3.14, 0x0 (?), 17:48, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я вот, например, уже давольно давно не могу чётко для себя диллетанта прояснить вот такой нюанс: если я могу сказать Иксам не слушать tcp, как тогда с остальным, если оно поддерживается? :)
     
     
  • 4.15, 0x0 (?), 17:50, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А, если и слушать, то куда (или откуда?))))))
     
  • 4.17, AlexYeCu_not_logged (?), 17:53, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Я вот, например, уже давольно давно не могу чётко для себя диллетанта
    > прояснить вот такой нюанс: если я могу сказать Иксам не слушать
    > tcp, как тогда с остальным, если оно поддерживается? :)

    Вы, случаем, не переводчик с Али?

     
     
  • 5.18, 0x0 (?), 18:02, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не-а. Обычный гастарбайтер.

    Надо сегодня, наверное, будет пойти уже отоспаться, а то голова реально чугунная )))

     
  • 4.20, 0x0 (?), 18:22, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Помню, кажется, я тогда ещё в самом начале своей озабоченности пытался блокировать что-то через фаервол и Иксов, вроде, совсем не стало [???]
     
     
  • 5.21, 0x0 (?), 18:43, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я понял, что это было.
    Возможно udp или torrent-качалка.
    Нет. Поиски в интернет сказали мне,
    что это unix.
    Точно. Это UNIX!
    Шеф, два счетчика!
    Шеф, два счетчика!

    https://wiki.ubuntu.com/xdmcp

    ^)))

     
     
  • 6.22, 0x0 (?), 18:45, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    *
    > Точно. Это UNIX Domain Sockets!
     
     
  • 7.23, Аноним84701 (ok), 19:17, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > *
    >> Точно. Это UNIX Domain Sockets!

    Что вы таки хотите этим нам сообщить?
    http://www.tldp.org/HOWTO/text/Secure-Programs-HOWTO
    > The ''Unix domain sockets'' don't actually represent a network protocol; they can only connect to sockets on the same machine. . (at the time of this writing for the standard Linux kernel). When used as a stream, they are fairly similar to named pipes, but with significant advantages.
    >

     
  • 2.51, Vkni (ok), 03:47, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > это не первый раз, когда мы видим большую группу уязвимостей в X.Org

    И не последний, да. Потому, что Xorg - это основная реализация самой продвинутой на данный момент оконной системы. Замены которой днём с огнём не видно. Не видно даже, чтобы кто-то внятно сформулировал Т.З. для замены или хотя бы начал это делать.

     
     
  • 3.63, arisu (ok), 20:57, 15/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а ещё там знатно потоптался пакард с товарищами‐долбоклюями. что тоже не добавило реализации блеска.
     

  • 1.6, 0x0 (?), 16:21, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    К сожалению, по жизни получилось как-то так, что лично я не склонен заглядывать в чужие счета на что бы то ни было. Так что, мне будет сложно сделать какие-нибудь выводы об упомянутом Вами выше товарище.

    А по поводу Xorg, то он хорош тем, что давно у всех, со всем и всегда работает. Вот только сама экосистема GNU/Linux изменилась настолько со времён его создания, что, возможно, и действительно уже пришло время перейти на что-то другое.

     
     
  • 2.7, 0x0 (?), 16:25, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ⬆  Это к ветке 2.5 и Andrey Mitrofanov.

    Sorry, ни туды попал, а править "не могу и не хочу" :)

     
  • 2.8, 0x0 (?), 16:40, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Немного обосную: чьи-то счета это сугубо личные деловые отношения юр. или физлица и компаний, предоставляющих ему услуги. И публичное их обсуждение характеризует в неприглядном свете в первую очередь тех, кто такое обсуждает ;)
     
     
  • 3.11, _ (??), 16:52, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Цель любого сайта 0 даже вот этого - генерация юников. Которые более или менее конвертируются в чистую монету. Дальше объяснять?
     
     
  • 4.13, 0x0 (?), 17:40, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А я просил? :)
     
  • 2.16, AlexYeCu_not_logged (?), 17:52, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >Вот только сама экосистема GNU/Linux изменилась настолько со времён его создания, что, возможно, и действительно уже пришло время перейти на что-то другое.

    И что же изменилось? По пунктам? Что из этого не могут решить именно Иксы?

     
     
  • 3.32, 0x0 (?), 22:07, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не уверен, но интуитивно подозреваю, что и блокчейн-цепочку смогли бы решить ;)
     
     
  • 4.33, 0x0 (?), 22:10, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ...смогли бы ПОМОЧЬ решить :)
     
  • 3.64, qwert (??), 12:34, 16/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что из этого не могут решить именно Иксы?

    Тачскрины, HiDPI, MultiGPU, HybridGPU. Это из того, что сразу приходит на ум.

    Появилась KMS, и теперь ядро, а не иксы занимаются заданием графического режима.

    Современные графические тулкиты давно способны рисовать сами, напрямую через OpenGL и без привлечения иксов (на самом деле нет - рисовать, не привлекая иксов, в иксах попросту нельзя, ведь композитинг там активный.. а чего это производительность такая, что хоть стреляйся, лол?). Причём рисовать напрямую быстрее (производительнее) и картинка в итоге получается лучше. В итоге иксовая рисовалка - это просто мёртвый груз.

    Итого: Производительность, Тачскрины, HiDPI, MultiGPU, HybridGPU.

     
  • 2.53, 0x0 (?), 06:06, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кстати, только-что хорошенько так вспомнил и подумал: если б не то обстоятельство, что я уже довольно давно над составлением xorg.conf не потел, то "у всех, со всем и всегда" тоже как-то с сильной натяжечкой получилось бы :)
     

  • 1.35, Retrosharer (?), 22:29, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    За что заминусовали человека, проговорившего факт, что "иксам пора на покой"? Подозреваю, за то, что он литературно безграмотен. Иксам пора не на "покой", а на «упокой», ибо эта мертворождённая технология принесла не благоденствие для Linux на десктопах, а провал. Теперь попробуйте, заминусуйте меня.

    Идеальная операционная система, основанная на идеальной парадигме, продуманная, уважающая Человека, призванная победить, чистая, разумная и обучающая, аккуратная в своей эпизодической неопрятности, живая – существует на 6% домашних ПК.

     
     
  • 2.39, 0x0 (?), 23:15, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Надо же! Такой литературно выверенный смысловой перевёртыш. Цепляет однозначно :)

    На 6% домашних ПК существует зеркало остальных 94% зеркал, в которых, как-то так вышло, и отразилась вся человеческая натура :)

     
  • 2.42, Аноним (-), 00:23, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Провал линуксу принесла убунта, и конкретно Марк Шаттлворт Ну и ещё Red Hat кос... текст свёрнут, показать
     
     
  • 3.44, 0x0 (?), 01:04, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > наметился зоопарк дистрибутивов

    А идея Opensource, если я не ошибаюсь, в том и заключается, что каждый волен делать в своё удовольствие и что в голову набредёт. А уж как это, если нужно, потом в массы пойдёт -- время, связи, счастливый случай или приложенные усилия и сноровка в продвижении покажут.

    Я бы даже сказал, что opensource это что-то из родни https://ru.wikipedia.org/wiki/%D0%96%D0%B8%D0%B2

    Из той родни ооочень много чего современного вышло :)

     
     
  • 4.46, 0x0 (?), 01:16, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не хочется и представлять даже, насколько могла б поблекнуть жизнь Opensource без систематических Холиворов ))
     
  • 3.45, Аноним (-), 01:09, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >Провал линуксу

    Всем бы такой провал.

     
  • 3.47, angra (ok), 01:43, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Такое впечатление, что я прочитал репортаж из параллельной вселенной или из дурдома. Такая дичь, что разбирать надо каждую строчку, а мне лень.
     
     
  • 4.65, Аноним (-), 13:33, 16/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Такая дичь, что разбирать надо каждую строчку, а мне лень

    Просто тебе стыдно произнести вслух то, что ты хочешь произнести. Потому что в этом случае в параллельной вселенной окажешься ты, а не я.

    Ты хотел сказать: все знают что Ubuntu это первый десктопный линукс, а все предыдущие могли установить лишь академики или очень продвинутые айтишники. До убунту был только Генту. Все это знают. И даже если это не так, есть такая поговорка: если глубоко в лесу упало дерево, но никто не видел и не слышал как оно упало - значит оно не упало.

     
  • 3.52, Аноним (-), 04:16, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чушь и бред. Я кстати с Федоры сбежал после 2 или 3 версии (были редкими глюкодромами) и знаете что первое поставил вместо неё? Правильно, CentOS! Но он мне не очень понравился, уже не помню из-за чего, что-то с установкой было не так. После нескольких мыканий-тыканий поставил Убунту и на ней безвылазно сижу больше 10 лет (хотя из-за мелких багов, видимо связанных с переходом на systemd, возможно её тоже скоро поменяю на что-то другое).
     
     
  • 4.61, lee xao peng (?), 09:35, 15/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    на freebsd?
     
  • 4.66, Аноним (-), 13:44, 16/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я не знаю как в психологии называется этот эффект, но Win2000 закидали грязью, а на XP дружно перешли. Хотя это был фактически ребрендинг. "Режим совместимости" только добавили (ещё в 2000 SP1, но об этом никто не знал) и сторонние разработчики обновили свой софт. А больше ничего не изменилось.

    Когда вышел Doom III, его закидали грязью так, что Id Software обанкротилась после долгих мучений. Когда стали выходить калофдутия и батлфилды, все глотали.

    Когда Fedora вышла "ядерным полигоном", все возмутились и ушли. Когда Ubuntu вышла на базе Debian Unstable (даже не Testing), все глотали.

     
  • 3.76, Пантелеев (?), 13:12, 26/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > время как в противоположном лагере всё, что собрано в RH, работало
    > везде.
    > Убунта понизила качество десктопного линукса. По сути, она была Федорой (с которой
    > все со страшной силой свалили из-за её глюкавости), только на базе
    > Debian Unstable.
    > Если бы не было никакой Ubuntu 6.06, то многие бы свалили, как
    > миленькие, с Висты на Линукс - будь то национальный или общемировой,
    > такой как дебиан, суся, мандрива или даже CentOS. На нетбуках был
    > неплохо приготовленный дистр - Xandros. Процентов 10 бы откусили от винды!
    > Но это сделал Мак.

    Плохому танцору всегда что-то мешает

     
  • 2.62, Ordu (ok), 20:42, 15/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > мертворождённая технология

    Почему "мертворожденная", если X'ы десятилетиями живее всех живых?

    > Теперь попробуйте, заминусуйте меня.

    Я обычно не парюсь на оценки -- кому они нужны? -- но, если ты так просишь, мне не сложно.

     

  • 1.67, ъ (?), 18:15, 16/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Возможно кто знает. Был пару лет назад проект - реализация х11 сервера, но програмная. Назывался както похоже на xinth или xigth.. требовал всего 4кб на подключеного клиента и мог подерживать до 250(256?) клиентов одновременно. Обыскал все страницы в гугле, яндыксе и дакдакго по ключивым словам х11, хfree86 и др... но ничего не нашел... сразу скажу это не зефир от кде.
    Если кто знает, помогите найти этот опенсоурс проект.
     
     
  • 2.69, Led (ok), 20:07, 16/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Свали на ЛОР со своим тупняком (откуда ты и приполз).
     
  • 2.71, arisu (ok), 20:54, 16/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > реализация х11 сервера, но програмная.

    а X.Org, видимо, эфирная.

    p.s.: возьми и сделай. ничего сложного в реализации X11 нет. зачем он тебе без расширений, правда — не очень ясно.

     
     
  • 3.72, ъ (?), 00:40, 17/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, именно что бы сделать свою реализацию я и искал тех кто прошел уже этот путь. У них хотел посмотреть (подсмотреть) как и что. Документации по реализации с нуля совсем мало ( openmotif, xlib и xcb, на остальных пока не наткнулся). Книги только от 1993 года. Даже толкового описания что делают  xwininfo и xev кроме как в манах нет. (Понятно что возможно опоздал с своей реализацией лет на 25, но охота пуще неволи).
    Спасибо, что попытались помочь. (На другом ресурсе уже подсказали - это Xynth. И там я тему создал гораздо позже чем тут, и только когда долго никто не отвечал.)
     
     
  • 4.73, arisu (ok), 00:53, 17/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    на самом деле перечисленые библиотеки не имеют отношения к реализации иксов. отношение имеет x protocol, который описан. всё остальное, включая xlib, работает с использованием x protocol. как только оный протокол реализован — *все* иксовые утилиты будут автомагически работать с твоим сервером. сам же протокол несложный (хотя и немного подзамороченый количеством сущностей), обычный поток пакетов «запрос-ответ», с известной структурой.

    я сильно рекомендую его хотя бы изучить: даст отличный инсайт и понимание того, почему иксы делают нечто именно так, как делают, что в иксах стоит улучшить, и — главное — как именно это можно улучшить, не ломая всё нафиг.

    собственно, из перечисленного может помочь xcb, потому что это тупо реализация протокола, без высокоуровневых вещей xlib. оно даже генерируется на основе машиночитаемого описания протокола.

     
  • 4.74, arisu (ok), 07:17, 17/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    p.s.: извиняюсь за резковатый тон — специфика опеннета такая: большинство анонимусов тут устраивают флэймфесты, поэтому перекос в тоне ответов.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру