LINUX.ORG.RU

Множественные уязвимости в Xorg-server

 ,


0

0

* CVE-2008-1377: исполнение произвольного кода через расширения Record и Security
* CVE-2008-1379: численное переполнение в расширении MIT-SHM — чтение памяти любого процесса
* CVE-2008-2360: численное переполнение в расширении RENDER — выполнение произвольного кода
* CVE-2008-2361: численное переполнение в расширении RENDER — DoS
* CVE-2008-2362: численное переполнение в расширении RENDER — выполнение произвольного кода

>>> Gentoo GLSA

Re: Множественные уязвимости в Xorg-server

xorg'окапец? Метки рулят)

anonymous ()

Re: Множественные уязвимости в Xorg-server

equery l xorg-server [ Searching for package 'xorg-server' in all categories among: ] * installed packages [I--] [ ] x11-base/xorg-server-1.3.0.0-r6 (0)

и ниипет...

Slackware_user ★★★★★ ()

Re: Множественные уязвимости в Xorg-server

Какое щастье, что на ATI не работает RENDER...

Gharik ()

Re: Множественные уязвимости в Xorg-server

говорила мне мама -- Xсы для слабаков а я не верил =(

time2die ()

Re: Множественные уязвимости в Xorg-server

Пошел обновляться...

Qasta ()

Re: Множественные уязвимости в Xorg-server

Кстати, дядя, ты в общем-то нагло гонишь, актуальный glsa-check на актуальном срезе портежа выдаёт 6 печатей чистоты, и я б на месте Шомана тебя б зобанил...

Gharik ()

Re: Множественные уязвимости в Xorg-server

Что какой-то идиот ещё пользуется иксами на сервере ? А DDoS атаки на мой ноутбук не предвидится.

anonymous ()

Re: Множественные уязвимости в Xorg-server

Почему их так долго искали?
Xorg - хрень, работающая от рута. В нём сам Бог велел дыры искать.

anonymous ()
Ответ на: Re: Множественные уязвимости в Xorg-server от anonymous

Re: Множественные уязвимости в Xorg-server

> Что какой-то идиот ещё пользуется иксами на сервере ?

А в офисе? Когда надо жёстко ограничить локальных/внутрисетевых перемещаемых пользователей? Или в офисе иксы тоже не нужны?

anonymous ()

Re: Множественные уязвимости в Xorg-server

жестоко...

devinull ★★ ()
Ответ на: Re: Множественные уязвимости в Xorg-server от anonymous

Re: Множественные уязвимости в Xorg-server

>Что какой-то идиот ещё пользуется иксами на сервере ? А DDoS атаки на мой ноутбук не предвидится.

Откройте для себя Терминал клиенты хотя бы!

anonymous ()
Ответ на: Re: Множественные уязвимости в Xorg-server от anonymous

Re: Множественные уязвимости в Xorg-server

>Откройте для себя Терминал клиенты хотя бы! Вы имели ввиду Xorg в качестве сервера для терминал клиентов. Да есть такое дело.

anonymous ()
Ответ на: Re: Множественные уязвимости в Xorg-server от anonymous

Re: Множественные уязвимости в Xorg-server

>А в офисе? Когда надо жёстко ограничить локальных/внутрисетевых перемещаемых пользователей? Или в офисе иксы тоже не нужны?

А в офисе нужно иметь файрвол запрещающий доступ интернет-быдла к твоей локальной сетке.

anonymous ()

Re: Множественные уязвимости в Xorg-server

кто бы сомневался... локальных уязвимостей вообще море.

anonymous ()

Re: Множественные уязвимости в Xorg-server

Ну всё, теперь мой десктоп взломают ксакепы :-(

Torvalds ()

Re: Множественные уязвимости в Xorg-server

Ох, итить! Нехорошо.

one_more_hokum ★★★ ()

Re: Множественные уязвимости в Xorg-server

< 1.3.0.0-r6 ?

Это где такое г... мамонта держат ?

sS ★★★★★ ()

Re: Множественные уязвимости в Xorg-server

Xorg решето! все дружно переходим на XFree86, он уж по надежнее

[root@XXX ~]# X -version XFree86 Version 4.6.0

anonymous ()

Re: Множественные уязвимости в Xorg-server

>> < 1.3.0.0-r6 ?

>Это где такое г... мамонта держат ?

Пардон? Debian/Etch - вообще 1.1.1. Жалоб нет. Хотя да, я и не использую никаких там компизов, прозрачностей, в игры не играюсь. Обычное 2D. Да хоть XFree86 3.3.6. Если работать можно, то и аминь.

Zubok ★★★★★ ()
Ответ на: Re: Множественные уязвимости в Xorg-server от time2die

Re: Множественные уязвимости в Xorg-server

>говорила мне мама -- Xсы для слабаков а я не верил =(

воистину для слабаков! Консоль юзают только ленивые админы, а тру-пользователи подключаются к терминалу через libastral.so, записанную на дискету, лежащую в кармане пользователя!

fractaler ★★★★★ ()

Re: Множественные уязвимости в Xorg-server

Из соседней ветки. А вот если Xorg переписать на Java - уязвимостей ведь не будет? И прирост скорости ощутимый. А главное таким большим проектом может по-нормальному справиться только Java. Как идея?

CtrlAltBs ()

Re: Множественные уязвимости в Xorg-server

>исполнение произвольного кода через расширения... Security

:)))

anonymous ()
Ответ на: Re: Множественные уязвимости в Xorg-server от CtrlAltBs

Re: Множественные уязвимости в Xorg-server

>А вот если Xorg переписать на Java - уязвимостей ведь не будет?

Ви вправду думаете, что в программах на яве не находят уязвимости? =)

>И прирост скорости ощутимый.

:)))

>Как идея?

Аффтар, не пешы больше.. :)

anonymous ()
Ответ на: Re: Множественные уязвимости в Xorg-server от anonymous

Re: Множественные уязвимости в Xorg-server

> Ви вправду думаете, что в программах на яве не находят уязвимости? =)

Меня уверили, что она переваривает любой код. Хоть макаку за комп посади - а работать будет. Итого, в день ветка бананов на программиста-макаку. Значительно дешевле всяких си программистов. Экономическая целесообразность на лицо.

CtrlAltBs ()

Re: Множественные уязвимости в Xorg-server

>RENDER — DoS

Хммм.....

FiXer ★★☆☆☆ ()
Ответ на: Re: Множественные уязвимости в Xorg-server от CtrlAltBs

Re: Множественные уязвимости в Xorg-server

>Меня уверили, что она переваривает любой код. Хоть макаку за комп посади - а работать будет.

Вас таки жестоко обманули.. ;)

anonymous ()
Ответ на: Re: Множественные уязвимости в Xorg-server от Tigro

Re: Множественные уязвимости в Xorg-server

>Интересно, куда же вы все ходите обновляться...

А никуда, это видимо те кто даже новость прочитать не осилил.

anonymous ()

Re: Множественные уязвимости в Xorg-server

Из дебиановской рассылки пришло письмо. тогда же и xorg обновился
Так что новость для тех кто обновляет дистр. вручную, ну там Патреги всякие.


Date: 	Thu, 12 Jun 2008 00:16:09 +0200 (CEST)  (01:16 IDT)


------------------------------------------------------------------------
Debian Security Advisory DSA-1595-1                  security@debian.org
http://www.debian.org/security/                          Thijs Kinkhorst
June 11, 2008                         http://www.debian.org/security/faq
------------------------------------------------------------------------

Package        : xorg-server
Vulnerability  : several
Problem type   : local
Debian-specific: no
CVE Id(s)      : CVE-2008-1377 CVE-2008-1379 CVE-2008-2360 CVE-2008-2361
                 CVE-2008-2362

Several local vulnerabilities have been discovered in the X Window system.
The Common Vulnerabilities and Exposures project identifies the following
problems:

sdio ★★★★★ ()

Re: Множественные уязвимости в Xorg-server

Пользуюсь XFree 4.4 - проблем нет никаких

anonymous ()

Re: Множественные уязвимости в Xorg-server

Ну и когда все пофиксят ? Предчувствую, что багов там ещеееее.

anonymous ()
Ответ на: Re: Множественные уязвимости в Xorg-server от lester

Re: Множественные уязвимости в Xorg-server

>разве на XFree 4.4 fluxbox/Gnome/KDE как то по другому работают?

Да ну что Вы! Осталось просто вкрутить это в любой актуальный дистр и заставить все работать ;)

Я вижу просто такую логическую цепочку: XFree4.4 -> ОС года эдак 2004 -> Ныне оно RIP...

Bebop ★★ ()

Re: Множественные уязвимости в Xorg-server

А меня достал soft lockup с отваливанием fglrx и мертвым подвисанием.

Причем этот soft lockup зависит от фаз луны, он то проявляется почти сразу после загрузки, то после недели безперебойной работы.

Неужели нельзя что нибудь сделать, что бы ядро при этом не умирало намертво?

ЗЫ я злой, очень злой, особенно что более менее стабильно работают только 2.6.24 + fglrx-8.49, а 2.6.25 + fglrx-8.49, или + fglrx-8.50 выдает
kernel BUG at security/selinux/hooks.c
invalid opcode: 0000 [#1] SMP
и через некоторое время мертвый завис
noacpi делать не хочу, как некоторые предлагают, потому что в связке 2.6.24 + fglrx-8.493 сносно работает засыпание, плюс на датчики температуры завязан cpufreqd, от ondemand тоже отказываться не хочу, экономия энергии важнее.

anonymous ()

Re: Множественные уязвимости в Xorg-server

В юзерспейс его. А проприетарные драйвера - в топку.

ChALkeR ★★★★★ ()

Re: Множественные уязвимости в Xorg-server

> Множественные уязвимости в Xorg-server

> generatorglukoff (*) (20.06.2008 19:04:39)

Автор, признавайся, ты нагенерил глюки в икс-орге? %)

Jeepston ★★★ ()

Re: Множественные уязвимости в Xorg-server

/me вспоминает changelog неделю назад обновлённого xorg'a...

JackYF ★★★★ ()
Ответ на: Re: Множественные уязвимости в Xorg-server от CtrlAltBs

Re: Множественные уязвимости в Xorg-server

> А вот если Xorg переписать на Java - уязвимостей ведь не будет? И прирост скорости ощутимый. А главное таким большим проектом может по-нормальному справиться только Java. Как идея?

Дорогой, ты сначала перепиши многочисленные с-шные либки, которые Великая Неломаемая Ява юзает, на чистой яве.

www_linux_org_ru ★★★★★ ()
Ответ на: Re: Множественные уязвимости в Xorg-server от anonymous

Re: Множественные уязвимости в Xorg-server

> Xorg - хрень, работающая от рута. В нём сам Бог велел дыры искать.

Это с чего она от рута работает? Я startx набираю от обычного юзера всегда. Или Вы просто всегда под рутом сидите?

tot-to ()
Ответ на: Re: Множественные уязвимости в Xorg-server от tot-to

Re: Множественные уязвимости в Xorg-server

> Это с чего она от рута работает? Я startx набираю от обычного юзера
всегда. Или Вы просто всегда под рутом сидите?

Сюда смотри.
teddy@toshiba32~$ ls -l `which X`
lrwxrwxrwx 1 root root 4 2008-05-02 15:14 /usr/bin/X -> Xorg
teddy@toshiba32~$ ls -l `which Xorg`
-rwsr-xr-x 1 root root 1651720 2007-12-14 13:42 /usr/bin/Xorg

и много думай. :) Начни с ответа на вопрос, что означает буква s в 
строке прав доступа для Xorg.

Потом смотри сюда

kot@toshiba32~$ ps aux | grep X
root      5568  1.6  3.6 106128 90144 tty7     Ss+  22:09   1:16 X :0 -auth /home/teddy/.serverauth.2332
root      5574  0.0  3.6 106128 90144 tty7     S+   22:09   0:00 X :0 -auth /home/kot/.serverauth.2332

и думай опять. :) 

Uncle_Theodore ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.