LINUX.ORG.RU
ФорумTalks

Уязвимость в Ubuntu Linux 8.10


0

0

http://www.securitylab.ru/vulnerability/363827.php

Программа: Ubuntu Linux 8.10

Опасность: Высокая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

Уязвимость существует из-за ошибки повторного использования памяти при обработке импорта каскадных стилей. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код на целевой системе.

И так каждый день. А иногда и несколько раз:
http://www.securitylab.ru/vulnerability/363822.php
http://www.securitylab.ru/vulnerability/363828.php

Мне одному кажется, что качество Линукс с приходом ядра 2.6 катится в сраное говно?


>Мне одному кажется, что качество Линукс с приходом ядра 2.6 катится в сраное говно?

Т.е. ядро тут как бе не причем, я имею в виду хронологию событий в связи с популяризацией Линукса.

aspell
() автор топика
Ответ на: комментарий от aspell

>я имею в виду хронологию событий в связи с популяризацией Линукса.

А теперь фильтр по степени опасности "Высокая"... уже не каждый день и номенклатура программ заметно изменилась, а теперь "Критическая"... в последней категории в основном антивирусы... мда...

Renso ★★
()
Ответ на: комментарий от Renso

>А теперь фильтр по степени опасности "Высокая"... уже не каждый день и номенклатура программ заметно изменилась, а теперь "Критическая"... в последней категории в основном антивирусы... мда...

Уязвимости - это конечно важно, но мне кажется что и качество ПО в целом ухудшилось. Мне кажется, что это связано с внедрением большого количества свестелок-перделок. Разработчики разучились тестировать свои поделия, набивая их всяким ненужным хламом. Яркий тому пример - KDE.

aspell
() автор топика

Не Линукс. Только Убунту. А если чуть серьёзнее, то с популяризацией линукс активно стали применять в срвнительно новых для него облостях. Естественно наружу полезли баги.

KblCb ★★★★★
()
Ответ на: комментарий от aspell

>Яркий тому пример - KDE.

КDE-тим по сути за 2 года написали новый DE. Выпуск 4.0 был глючным, но разработчики видимо решили воспользоваться тем, чем якобы силён оупенсорс - помощью сообщества. В третьей ветке я критичных багов не упомню.

>но мне кажется что и качество ПО в целом ухудшилось.

3апросы пользователей возросли. Eсли бы все страницы в интернете были как lib.ru, то и файерфокс был бы не нужен, а хватало бы кошерного w3m.

Алсо, через дыру в емаксе немецкие хацкеры несколько лет сливали информацию КГБешникам. То бишь я хочу сказать, что за >20 лет существования программы весь код её уже успели вылизать и найти все баги. Программа же которая написана 2 года назад ещё не успела пройти очистку временем.

anonymous
()
Ответ на: комментарий от anonymous

>Выпуск 4.0 был глючным, но разработчики видимо решили воспользоваться тем, чем якобы силён оупенсорс - помощью сообщества.

КДЕ 4 не был глючным, он остался глючным.

>В третьей ветке я критичных багов не упомню.


А про третью ветку я ничего и не говорю. Она изначально не была такой уродской как четвертая.

>3апросы пользователей возросли. Eсли бы все страницы в интернете были как lib.ru, то и файерфокс был бы не нужен, а хватало бы кошерного w3m.


Но заметим, что та же МС с запросами пользователей справляется, в отличии от... Если посмотреть на самые популярные дистрибутивы типа Ubuntu, Mandriva и Suse, в которых есть все, что нужно пользователю, что мы увидим? Правильно, херовый перевод интерфейса, постоянно отваливающийся HAL, ублюдошные конфигурялки и менеджеры сетевых подключений и многое, многое другое.

>То бишь я хочу сказать, что за >20 лет существования программы весь код её уже успели вылизать и найти все баги. Программа же которая написана 2 года назад ещё не успела пройти очистку временем.


Отлично, будем ждать более 20 лет для того чтоб Линукс привели в порядок. А вот Microsoft и Apple ждать точно не будут. Я гарантирую это.

aspell
() автор топика
Ответ на: комментарий от anonymous

>Что то я не въехал, в ебунту или в браузере?

===========================================================
Ubuntu Security Notice USN-676-1 November 24, 2008
webkit vulnerability
CVE-2008-3632
===========================================================

A security issue affects the following Ubuntu releases:

Ubuntu 8.10

This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.

The problem can be corrected by upgrading your system to the
following package versions:

Ubuntu 8.10:
libwebkit-1.0-1 1.0.1-2ubuntu0.1

After a standard system upgrade you need to restart any applications that
use WebKit, such as Epiphany-webkit and Midori, to effect the necessary
changes.

Details follow:

It was discovered that WebKit did not properly handle Cascading Style Sheets
(CSS) import statements. If a user were tricked into opening a malicious
website, an attacker could cause a browser crash and possibly execute
arbitrary code with user privileges.

aspell
() автор топика

Уязвимость в вебкитовой либе, которую использует епифань или мидори. Даже интересно, 0.1% наберется пользователей которые ставят мидори или епифань с вебкитом.

anonymous
()

Сам ответил на свой вопрос - бубунта позиционируется как поп-решение, а не надежное.

madcore ★★★★★
()
Ответ на: комментарий от aspell

>libwebkit-1.0-1 1.0.1-2ubuntu0.1

Бугагага. Нашел мейнстримный браузер, йотыть.

Absurd ★★★
()

aspell> Мне одному кажется, что качество Линукс с приходом ядра 2.6 катится в сраное говно?

Да.

На деле же качество повышается. А убунта 8.10.0 - на самом деле полутестовый релиз. Когда будет 8.10.1, тогда стабилизируется.

Quasar ★★★★★
()
Ответ на: комментарий от anonymous

anonymous> Что то я не въехал, в ебунту или в браузере?

В пакете, который включен в релиз вестимо. Но да - новость оформлена безграмотно.

Quasar ★★★★★
()
Ответ на: комментарий от aspell

>It was discovered that WebKit did not properly handle Cascading Style Sheets
(CSS) import statements. If a user were tricked into opening a malicious
website, an attacker could cause a browser crash and possibly execute
arbitrary code with user privileges.

если я правильно понял, то это проблема вебкита а не убунты. Просто черти из каноникал обнаружили это. Т.е. подвержены все кто юзает вебкит включая сафари и хром?

k0l0b0k ★★
()

> Мне одному кажется, что качество Линукс с приходом ядра 2.6 катится в сраное говно?

Не, это с приходом большого числа индусских и русских кодеров, которые о том, что такое качественный код, либо не слыхали (первые), либо забили (вторые)...

shimon ★★★★★
()
Ответ на: комментарий от Quasar

> Когда будет 8.10.1, тогда стабилизируется.

Т.е. - никогда? Ибо 8.10.1 не будет. Будет 9.04

Bod ★★★★
()
Ответ на: комментарий от Tux-oid

>Вебкит это форк KHTML.

...написаный ябблами для своих ябблочных целей. С KHTML на данный момент у них общее только назначение.

KblCb ★★★★★
()
Ответ на: комментарий от KblCb

> С KHTML на данный момент у них общее только назначени>

вообще-то все фичи вебкита со временем бекпортятся в кхтмл

overmind88 ★★★★★
()
Ответ на: комментарий от overmind88

Аргумент. Но в целом роли это не играет. WebKit - движок разработаный ябблом для сафари. Кидайтесь грязью в Mac OS X (боюсь соврать, но вроде бы софари появился с пантеры). Я жду.

KblCb ★★★★★
()
Ответ на: комментарий от KblCb

> WebKit - движок разработаный ябблом для сафари.

Гм. Р_а_з_р_а_б_о_т_а_н_н_ы_й? Ну если разработка - отрывание зависимостей от kdelibs, то ви таки безусловно правы.

anonymous
()

> Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код на целевой системе.

> Мне одному кажется, что качество Линукс с приходом ядра 2.6 катится в сраное говно?

наверно да, ибо проблема в FF, а не в едре.

phasma ★☆
()

2.4 is too unstable, use 2.2 instead.

FiXer ★★☆☆☆
()
Ответ на: комментарий от anonymous

> через дыру в емаксе немецкие хацкеры несколько лет сливали информацию КГБешникам

Можно подробнее? Или это была импровизация?

question4 ★★★★★
()
Ответ на: комментарий от Quasar

> На деле же качество повышается. А убунта 8.10.0 - на самом деле полутестовый релиз. Когда будет 8.10.1, тогда стабилизируется.

Учим матчасть. Его _не_ будет.

Igron ★★★★★
()
Ответ на: комментарий от Igron

Просто в убунте не тестовые релизы -- только LTS.

Igron ★★★★★
()
Ответ на: комментарий от Slackware_user

> Даже hal в анстейбле починили?

Он сломан by design. Починить hal - все равно, что вечный двигатель собрать.

anonymous
()
Ответ на: комментарий от phasma

> по ссылкам не ходил, не знаю про какой браузер там говорится.

А надо было сходить, чтобы в так смачно в грязь лицом не сунуться.

Deleted
()

> Мне одному кажется, что качество Линукс с приходом ядра 2.6 катится в сраное говно?

Что-то мне подсказывает, что умения анализировать и размышлять у кое-кого катятся в сраное говно.

Deleted
()

Очень толсто.

>Мне одному кажется, что качество Линукс с приходом ядра 2.6 катится в сраное говно?

И как связан прикладной софт с версией ядра?

Как я уже говорил - толсто.

Dudraug ★★★★★
()

ах да, по сабжу забыл сказать.

> Ubuntu 8.10:

> libwebkit-1.0-1 1.0.1-2ubuntu0.1



галактеко опасносте!!!1

isden ★★★★★
()

webkit (1.0.1-4) unstable; urgency=high

* WebCore/dom/Document.*, WebCore/loader/DocLoader.*: Avoid DoS via crafted CSS import statements. Fixes: CVE-2008-3632. Closes: #499771.

вот и всё.

sniper21 ★★★★★
()

решето!

anonymous
()
Ответ на: комментарий от Dudraug

Dimez: Что-то мне подсказывает, что умения анализировать и размышлять у кое-кого катятся в сраное говно.

Dudraug: И как связан прикладной софт с версией ядра? Как я уже говорил - толсто.

ОМГ! Прочитайте мое второе сообщение в этой теме. ПОЖАЛУЙСТА.

aspell
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.