LINUX.ORG.RU

Множественные уязвимости в Xorg-server

 ,


0

0

* CVE-2008-1377: исполнение произвольного кода через расширения Record и Security
* CVE-2008-1379: численное переполнение в расширении MIT-SHM — чтение памяти любого процесса
* CVE-2008-2360: численное переполнение в расширении RENDER — выполнение произвольного кода
* CVE-2008-2361: численное переполнение в расширении RENDER — DoS
* CVE-2008-2362: численное переполнение в расширении RENDER — выполнение произвольного кода

>>> Gentoo GLSA

xorg'окапец? Метки рулят)

anonymous
()

equery l xorg-server [ Searching for package 'xorg-server' in all categories among: ] * installed packages [I--] [ ] x11-base/xorg-server-1.3.0.0-r6 (0)

и ниипет...

Slackware_user ★★★★★
()

Какое щастье, что на ATI не работает RENDER...

Gharik
()

Кстати, дядя, ты в общем-то нагло гонишь, актуальный glsa-check на актуальном срезе портежа выдаёт 6 печатей чистоты, и я б на месте Шомана тебя б зобанил...

Gharik
()

Что какой-то идиот ещё пользуется иксами на сервере ? А DDoS атаки на мой ноутбук не предвидится.

anonymous
()

Почему их так долго искали?
Xorg - хрень, работающая от рута. В нём сам Бог велел дыры искать.

anonymous
()
Ответ на: комментарий от anonymous

> Что какой-то идиот ещё пользуется иксами на сервере ?

А в офисе? Когда надо жёстко ограничить локальных/внутрисетевых перемещаемых пользователей? Или в офисе иксы тоже не нужны?

anonymous
()
Ответ на: комментарий от anonymous

>Что какой-то идиот ещё пользуется иксами на сервере ? А DDoS атаки на мой ноутбук не предвидится.

Откройте для себя Терминал клиенты хотя бы!

anonymous
()
Ответ на: комментарий от anonymous

>Откройте для себя Терминал клиенты хотя бы! Вы имели ввиду Xorg в качестве сервера для терминал клиентов. Да есть такое дело.

anonymous
()
Ответ на: комментарий от anonymous

>А в офисе? Когда надо жёстко ограничить локальных/внутрисетевых перемещаемых пользователей? Или в офисе иксы тоже не нужны?

А в офисе нужно иметь файрвол запрещающий доступ интернет-быдла к твоей локальной сетке.

anonymous
()
Ответ на: комментарий от anonymous

моя мама - бородатый админ,задавайте вопросы

anonymous
()

кто бы сомневался... локальных уязвимостей вообще море.

anonymous
()

Ну всё, теперь мой десктоп взломают ксакепы :-(

Torvalds
()

Xorg решето! все дружно переходим на XFree86, он уж по надежнее

[root@XXX ~]# X -version XFree86 Version 4.6.0

anonymous
()
Ответ на: комментарий от sS

>> < 1.3.0.0-r6 ?

>Это где такое г... мамонта держат ?

Пардон? Debian/Etch - вообще 1.1.1. Жалоб нет. Хотя да, я и не использую никаких там компизов, прозрачностей, в игры не играюсь. Обычное 2D. Да хоть XFree86 3.3.6. Если работать можно, то и аминь.

Zubok ★★★★★
()
Ответ на: комментарий от sS

> < 1.3.0.0-r6 ?

> Это где такое г... мамонта держат ?

Это был сарказм?

sv75 ★★★★★
()
Ответ на: комментарий от anonymous

так лор тот ещё цирк. взять хотя бы того анонимуса который фотожоп как сапр использует.

anonymous
()
Ответ на: комментарий от time2die

>говорила мне мама -- Xсы для слабаков а я не верил =(

воистину для слабаков! Консоль юзают только ленивые админы, а тру-пользователи подключаются к терминалу через libastral.so, записанную на дискету, лежащую в кармане пользователя!

fractaler ★★★★★
()

Из соседней ветки. А вот если Xorg переписать на Java - уязвимостей ведь не будет? И прирост скорости ощутимый. А главное таким большим проектом может по-нормальному справиться только Java. Как идея?

CtrlAltBs
()

>исполнение произвольного кода через расширения... Security

:)))

anonymous
()
Ответ на: комментарий от CtrlAltBs

>А вот если Xorg переписать на Java - уязвимостей ведь не будет?

Ви вправду думаете, что в программах на яве не находят уязвимости? =)

>И прирост скорости ощутимый.

:)))

>Как идея?

Аффтар, не пешы больше.. :)

anonymous
()
Ответ на: комментарий от anonymous

> Ви вправду думаете, что в программах на яве не находят уязвимости? =)

Меня уверили, что она переваривает любой код. Хоть макаку за комп посади - а работать будет. Итого, в день ветка бананов на программиста-макаку. Значительно дешевле всяких си программистов. Экономическая целесообразность на лицо.

CtrlAltBs
()
Ответ на: комментарий от CtrlAltBs

> А вот если Xorg переписать на Java - уязвимостей ведь не будет? И прирост скорости ощутимый

откуда???

lester ★★★★
()

>RENDER — DoS

Хммм.....

FiXer ★★☆☆☆
()
Ответ на: комментарий от CtrlAltBs

>Меня уверили, что она переваривает любой код. Хоть макаку за комп посади - а работать будет.

Вас таки жестоко обманули.. ;)

anonymous
()
Ответ на: комментарий от Tigro

>Интересно, куда же вы все ходите обновляться...

А никуда, это видимо те кто даже новость прочитать не осилил.

anonymous
()
Ответ на: комментарий от sS

>г... мамонта

Ты мамонта господином называешь? Жесть!

sdio ★★★★★
()

Из дебиановской рассылки пришло письмо. тогда же и xorg обновился
Так что новость для тех кто обновляет дистр. вручную, ну там Патреги всякие.


Date: 	Thu, 12 Jun 2008 00:16:09 +0200 (CEST)  (01:16 IDT)


------------------------------------------------------------------------
Debian Security Advisory DSA-1595-1                  security@debian.org
http://www.debian.org/security/                          Thijs Kinkhorst
June 11, 2008                         http://www.debian.org/security/faq
------------------------------------------------------------------------

Package        : xorg-server
Vulnerability  : several
Problem type   : local
Debian-specific: no
CVE Id(s)      : CVE-2008-1377 CVE-2008-1379 CVE-2008-2360 CVE-2008-2361
                 CVE-2008-2362

Several local vulnerabilities have been discovered in the X Window system.
The Common Vulnerabilities and Exposures project identifies the following
problems:

sdio ★★★★★
()

Ну и когда все пофиксят ? Предчувствую, что багов там ещеееее.

anonymous
()
Ответ на: комментарий от lester

>разве на XFree 4.4 fluxbox/Gnome/KDE как то по другому работают?

Да ну что Вы! Осталось просто вкрутить это в любой актуальный дистр и заставить все работать ;)

Я вижу просто такую логическую цепочку: XFree4.4 -> ОС года эдак 2004 -> Ныне оно RIP...

Bebop ★★
()

А меня достал soft lockup с отваливанием fglrx и мертвым подвисанием.

Причем этот soft lockup зависит от фаз луны, он то проявляется почти сразу после загрузки, то после недели безперебойной работы.

Неужели нельзя что нибудь сделать, что бы ядро при этом не умирало намертво?

ЗЫ я злой, очень злой, особенно что более менее стабильно работают только 2.6.24 + fglrx-8.49, а 2.6.25 + fglrx-8.49, или + fglrx-8.50 выдает
kernel BUG at security/selinux/hooks.c
invalid opcode: 0000 [#1] SMP
и через некоторое время мертвый завис
noacpi делать не хочу, как некоторые предлагают, потому что в связке 2.6.24 + fglrx-8.493 сносно работает засыпание, плюс на датчики температуры завязан cpufreqd, от ondemand тоже отказываться не хочу, экономия энергии важнее.

anonymous
()
Ответ на: комментарий от anonymous

ну ты что паникуешь, разве не знаешь что АТИ это круто?

sid350 ★★★★★
()

В юзерспейс его. А проприетарные драйвера - в топку.

ChALkeR ★★★★★
()

> Множественные уязвимости в Xorg-server

> generatorglukoff (*) (20.06.2008 19:04:39)

Автор, признавайся, ты нагенерил глюки в икс-орге? %)

Jeepston ★★★
()

/me вспоминает changelog неделю назад обновлённого xorg'a...

JackYF ★★★★
()
Ответ на: комментарий от CtrlAltBs

> А вот если Xorg переписать на Java - уязвимостей ведь не будет? И прирост скорости ощутимый. А главное таким большим проектом может по-нормальному справиться только Java. Как идея?

Дорогой, ты сначала перепиши многочисленные с-шные либки, которые Великая Неломаемая Ява юзает, на чистой яве.

www_linux_org_ru ★★★★★
()
Ответ на: комментарий от anonymous

> Xorg - хрень, работающая от рута. В нём сам Бог велел дыры искать.

Это с чего она от рута работает? Я startx набираю от обычного юзера всегда. Или Вы просто всегда под рутом сидите?

tot-to
()
Ответ на: комментарий от tot-to

> Это с чего она от рута работает? Я startx набираю от обычного юзера
всегда. Или Вы просто всегда под рутом сидите?

Сюда смотри.
teddy@toshiba32~$ ls -l `which X`
lrwxrwxrwx 1 root root 4 2008-05-02 15:14 /usr/bin/X -> Xorg
teddy@toshiba32~$ ls -l `which Xorg`
-rwsr-xr-x 1 root root 1651720 2007-12-14 13:42 /usr/bin/Xorg

и много думай. :) Начни с ответа на вопрос, что означает буква s в 
строке прав доступа для Xorg.

Потом смотри сюда

kot@toshiba32~$ ps aux | grep X
root      5568  1.6  3.6 106128 90144 tty7     Ss+  22:09   1:16 X :0 -auth /home/teddy/.serverauth.2332
root      5574  0.0  3.6 106128 90144 tty7     S+   22:09   0:00 X :0 -auth /home/kot/.serverauth.2332

и думай опять. :) 

Uncle_Theodore ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.