LINUX.ORG.RU
ФорумTalks

Уязвимость в libXfont

 , ,


0

2

При проверке кода библиотеки libXfont из X.Org в статическом анализаторе cppcheck обнаружена опасная уязвимость. С помощью специально оформленного BDF-файла со шрифтом можно организовать выполнение кода, повышающего привилегии локального пользователя в системе до рута.

И этой уязвимости....парам-пам-пам....барабанная дробь.....больше 22 лет!

для !Ъ

xorg

безопасность

В тегах взаимоисключающие параграфы.

x3al ★★★★★ ()

Manual inspection shows it is present in the sources from the X11R5 tarballs, but not in those from the X11R4 tarballs

Даунгрейдимся, посаны!

Cancellor ★★★★☆ ()

Ожидаю в треде проповедников Иксов, которые скажут, что всё это происки наймитов Wayland'а.

Deleted ()
Ответ на: комментарий от DoctorSinus

Современный линукс слишком дырявый, так что только солярис 7, только ынтерпрайз!

Cancellor ★★★★☆ ()

Bitmap Distribution Format (BDF) — созданный компанией Adobe

происки капиталистов

Novell-ch ★★★★★ ()

Потому что пользовательские библиотеки не должны работать от рута.

cvs-255 ★★★★★ ()
Ответ на: комментарий от cvs-255

В современных линуксах до того, как системный композитор (weston или что-нибудь) запилят, иксы без рута не запустишь.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

И да, X Core Fonts (для которых иксам и нужна эта библиотека) не нужны даже безотносительно нужности X11.

x3al ★★★★★ ()

Этот шрифт надо еще положить куда следует, расходимся.

baverman ★★★ ()

Дыра в CoreFont всё равно была эпичнее, им пользовалось куда больше людей, чем этим вашим X.Org.

MiniRoboDancer ★☆ ()

В дебильян уже прилетело обновление.

tailgunner ★★★★★ ()

парам-пам-пам....барабанная дробь

Вот если бы кто-то этой уязвимостью воспользовался бы, то тогда да — барабанная дробь, набат, пляски голышом по луной и прочие пьянки.
Но нет же. Взгляд ЛОРовских аналитиков видит только жёлтый цвет.
А тот факт, что ребята прогоняют код через статический анализатор (объясняю — «вылизывают» код) никому не интересен.
Ну и кто вы после этого?

Stahl ★★☆ ()
Ответ на: комментарий от Stahl

А тот факт, что ребята прогоняют код через статический анализатор

В первый раз за 20 лет? ☺

Deleted ()
Ответ на: комментарий от Deleted

А чего ты ржёшь?
Ты программист? Писал большие вещи? Пользовался всякого рода профайлерами и прочим?
То-то же. Так что спрячь улыбку пока на тебя не начали пальцем указывать...

Stahl ★★☆ ()
Ответ на: комментарий от Deleted

Ну не совсем. Точнее не сильно и не по тому поводу, по какому ты подумал:)
Я про эту либу вообще впервые слышу.

Stahl ★★☆ ()
Ответ на: комментарий от Stahl

Если это

Уязвимость в libXfont (комментарий)

не сильно, то я даже боюсь представить как сильно (O.o) Also, да, я таки иногда программирую. Но постоянно мне этим заниматься желания никакого нет. Без меня полно любителей.

Deleted ()

Лол, линаксы уже через шрефты хакают. ШГ by design. РЕШЕТО!

cipher ★★★★★ ()
Последнее исправление: cipher (всего исправлений: 1)
Ответ на: комментарий от Deleted

В первый раз за 20 лет?

дык ты сначала расскажи, как этой «дырой» воспользоваться...

emulek ()
Ответ на: комментарий от cipher

линаксы уже через шрефты хакают.

ничего так у тебя фантазия. Может тебе в Московский Комсомолец пойти?

emulek ()
Ответ на: комментарий от cipher

Лол, линаксы уже через шрефты хакают.

А виндос через шрефты хакает глаза пользователей еще испокон веков.

goingUp ★★★★★ ()

Вот если бы она НЕ была обнаружена - тогда решето.

Valdor ★★ ()
Ответ на: комментарий от goingUp

виндос через шрефты хакает глаза пользователей еще испокон веков.

Твой линукс тебе настолько убил глаза, что ты уже надписи не различаешь. Сходи к окулисту, пусть тебе пропишут капли, очки, лицензионную виндовс 8.1 и запретят пользоваться ОС с убогими интерфейсами.

cipher ★★★★★ ()

В Ubuntu LTS еще днем обновление пришло. Оперативно.

Andrew ★★★ ()

То есть ШГ теперь еще и дырявое, хорошо живем.

Jefail ★★★★ ()
Ответ на: комментарий от cipher

ты уже надписи не различаешь

А по-моему не различаешь как раз ты :)

goingUp ★★★★★ ()
Ответ на: комментарий от goingUp

Нет же, проверь зрение. Ну или сходи в местную галерею, а то, может, ты путаешь линукс с виндовсом.

cipher ★★★★★ ()
Ответ на: комментарий от goingUp

Не только глаза.
В той же XP есть адобовский растеризатор (ага, в дистрибутиве. ничего скачивать не нужно),
на который выходило минимум три экстренных патча.
Ибо сплоит юзался вовсю.

Kuzz ★★★ ()
Ответ на: комментарий от Deleted

А то. http://keithp.com/blogs/xserver-warnings/ видел? 20 лет собирались иксы собирались с ворнингами - и ничего. Неудивительно что cppcheck/clang analyzer им не ведом. Зато мы делаем ракеты сетевая прозрачность

vrutkovs ★★ ()

в статическом анализаторе
больше 22 лет

Это успех! Всем опенсорса за счёт заведения.

wintrolls ☆☆ ()

я подозреваю, что если вот взять, и честно прогнать весь код из какого-нибудь дистрибутива, то начнет мутить от бессилия и руки опустятся

kott ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.