LINUX.ORG.RU
ФорумTalks

Уязвимость в libXfont

 ,


0

2

При проверке кода библиотеки libXfont из X.Org в статическом анализаторе cppcheck обнаружена опасная уязвимость. С помощью специально оформленного BDF-файла со шрифтом можно организовать выполнение кода, повышающего привилегии локального пользователя в системе до рута.

И этой уязвимости....парам-пам-пам....барабанная дробь.....больше 22 лет!

для !Ъ

xorg

безопасность

В тегах взаимоисключающие параграфы.

x3al ★★★★★
()

Manual inspection shows it is present in the sources from the X11R5 tarballs, but not in those from the X11R4 tarballs

Даунгрейдимся, посаны!

Cancellor ★★★★☆
()

Ожидаю в треде проповедников Иксов, которые скажут, что всё это происки наймитов Wayland'а.

Deleted
()
Ответ на: комментарий от DoctorSinus

Современный линукс слишком дырявый, так что только солярис 7, только ынтерпрайз!

Cancellor ★★★★☆
()

Bitmap Distribution Format (BDF) — созданный компанией Adobe

происки капиталистов

Novell-ch ★★★★★
()
Ответ на: комментарий от cvs-255

В современных линуксах до того, как системный композитор (weston или что-нибудь) запилят, иксы без рута не запустишь.

x3al ★★★★★
()
Ответ на: комментарий от x3al

И да, X Core Fonts (для которых иксам и нужна эта библиотека) не нужны даже безотносительно нужности X11.

x3al ★★★★★
()

Этот шрифт надо еще положить куда следует, расходимся.

baverman ★★★
()

Дыра в CoreFont всё равно была эпичнее, им пользовалось куда больше людей, чем этим вашим X.Org.

MiniRoboDancer ★☆
()

парам-пам-пам....барабанная дробь

Вот если бы кто-то этой уязвимостью воспользовался бы, то тогда да — барабанная дробь, набат, пляски голышом по луной и прочие пьянки.
Но нет же. Взгляд ЛОРовских аналитиков видит только жёлтый цвет.
А тот факт, что ребята прогоняют код через статический анализатор (объясняю — «вылизывают» код) никому не интересен.
Ну и кто вы после этого?

Stahl ★★☆
()
Ответ на: комментарий от Deleted

А чего ты ржёшь?
Ты программист? Писал большие вещи? Пользовался всякого рода профайлерами и прочим?
То-то же. Так что спрячь улыбку пока на тебя не начали пальцем указывать...

Stahl ★★☆
()
Ответ на: комментарий от Deleted

Ну не совсем. Точнее не сильно и не по тому поводу, по какому ты подумал:)
Я про эту либу вообще впервые слышу.

Stahl ★★☆
()
Ответ на: комментарий от Stahl

Если это

Уязвимость в libXfont (комментарий)

не сильно, то я даже боюсь представить как сильно (O.o) Also, да, я таки иногда программирую. Но постоянно мне этим заниматься желания никакого нет. Без меня полно любителей.

Deleted
()
Ответ на: комментарий от Deleted

В первый раз за 20 лет?

дык ты сначала расскажи, как этой «дырой» воспользоваться...

emulek
()
Ответ на: комментарий от cipher

линаксы уже через шрефты хакают.

ничего так у тебя фантазия. Может тебе в Московский Комсомолец пойти?

emulek
()
Ответ на: комментарий от cipher

Лол, линаксы уже через шрефты хакают.

А виндос через шрефты хакает глаза пользователей еще испокон веков.

goingUp ★★★★★
()

Вот если бы она НЕ была обнаружена - тогда решето.

Valdor ★★
()
Ответ на: комментарий от goingUp

виндос через шрефты хакает глаза пользователей еще испокон веков.

Твой линукс тебе настолько убил глаза, что ты уже надписи не различаешь. Сходи к окулисту, пусть тебе пропишут капли, очки, лицензионную виндовс 8.1 и запретят пользоваться ОС с убогими интерфейсами.

cipher ★★★★★
()

В Ubuntu LTS еще днем обновление пришло. Оперативно.

Andrew ★★★
()
Ответ на: комментарий от goingUp

Нет же, проверь зрение. Ну или сходи в местную галерею, а то, может, ты путаешь линукс с виндовсом.

cipher ★★★★★
()
Ответ на: комментарий от goingUp

Не только глаза.
В той же XP есть адобовский растеризатор (ага, в дистрибутиве. ничего скачивать не нужно),
на который выходило минимум три экстренных патча.
Ибо сплоит юзался вовсю.

Kuzz ★★★
()
Ответ на: комментарий от Deleted

А то. http://keithp.com/blogs/xserver-warnings/ видел? 20 лет собирались иксы собирались с ворнингами - и ничего. Неудивительно что cppcheck/clang analyzer им не ведом. Зато мы делаем ракеты сетевая прозрачность

vrutkovs ★★
()

в статическом анализаторе
больше 22 лет

Это успех! Всем опенсорса за счёт заведения.

wintrolls ☆☆
()

я подозреваю, что если вот взять, и честно прогнать весь код из какого-нибудь дистрибутива, то начнет мутить от бессилия и руки опустятся

kott ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.