Уязвимость графической библиотеки

опля!

в suse патч от 22 ноября, так что в топку ;)

Ага, на груди, на женской. %)))
Ну объясните мне как реально эксплуатировать это?

2Zver * (*) (09.12.2004 20:16:55):

> Ага, на груди, на женской. %)))
> Ну объясните мне как реально эксплуатировать это?

Беру свои слова про рубаху обратно. Ценю за юмор :-)

Что про слаку вообще слышно? Где Патрик? Где апдейты? Бразилию не предлагать, они даже со swaret не дружат, ламеры...

Короче, уйду я на debian, всем назло ... Не на пиндору же...

лучше LFS себе устрой! :-))

Блин нашли уязвимость! Очередная дырка на переполнение буфера, причем такая, что я не очень представляю как ее эксплоить. Нужно большое совпадение + админ рас3,14издяй который держит на сервере Х-ы. А рабочую станцию ломать через такое будет только месье понимающий толк в извращениях. Корче хорошо, что ету дирку нашли но ее опасность сильно преувеличина. И вообще последнее время нездоровая тенденция любой дырке придавать статус сверхкритической.

Ну типа я использую qiv на базе imlib

qiv=quick image viewer

> Ну объясните мне как реально эксплуатировать это?

Сложно... ;-) Всеми правдами и неправдами подсунуть руту картинку на просмотр. А вот тут и вспоминаем про правило - не работать под рутом... ;-)

Нечего тебе на Слаке делать, ламер это ты а, не бразилианцы

Mon Nov 29 12:44:23 BRST 2004

patches/packages/lvm-1.0.8-i486-2.tgz: Rebuilt A bug in lvm (1.5 through 2.1) allows local users to overwrite files via a symlink attack on temporary files. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0972 (* Security fix *)

patches/packages/imlib-1.9.15-i486-1.tgz: Upgraded to imlib-1.9.15 Multiple heap-based buffer overflows in the imlib BMP image handler allow remote attackers to execute arbitrary code via a crafted BMP file. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0817 (* Security fix *)

patches/packages/libxml2-2.6.16-i486-1.tgz: Upgraded to libxml2-2.6.16 Multiple buffer overflows may allow remote attackers to execute arbitrary code. 2.6.12 and 2.6.13 are affected, it's unsure if older versions are affected as well, you may want to upgrade to to libxml2 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0989 (* Security fix *)

> Нечего тебе на Слаке делать, ламер это ты а, не бразилианцы

Если мне будет нужен секс с лазаньем по mitre.org и иже с ними, то я поставлю себе LFS. А от слаки или ее зеркал я жду нормальной работы со swaret. Потому что, помимо ухода за дистрибутивом, у меня есть еще много дел (в отличие от тебя, всю жизнь проводящего за мерцающим экранчиком и даже не подозревающего, что жизнь у нормальных людей заключается не только в этом). Нет такого - ну что ж, селява. Жаль, что слака не вечна. Была неплохим дистрибутивом.

P.S. Первые три имаджа testing через jigdo скачал, сейчас начнется самое интересное :)

Debian встал и ситуацию я, в принципе, контролирую, но:

1) Какого ... меня не спросили, хочу ли я иметь в своих /etc/rc.x гадость типа exim и ppp???? Слака спрашивает.

2) Почему после установки его с трёх первых CD я ни фига не могу собрать, т.к. он не находит нигде glib-2.0.pc??? (и его, похоже, действительно нет).

3) Какого ... он сразу при установке полез искать dhcp, нашел и не спросил - а может, я хочу все равно статический IP (а я хочу)?

В остальном всё более или менее приемлемо. Если не будет крупных проблем, то на нем и останусь.

> Почему после установки его с трёх первых CD я ни фига не могу собрать, > т.к. он не находит нигде glib-2.0.pc??? (и его, похоже, действительно > нет).
Ха-ха-ха, как это мне знакомо. Вот говорят "у нас, мол, в дебиане 10000 пакетов!", гордо так. А как посмотришь, что там вместо одного gtk+2-....tgz с десяток пакетов, причем девелоперские (а *.pc как-раз оттуда, кстати) засунуты сидюк эдак на 11-тый(!), а для того чтобы их установить, понадобится еще с десяток пакетов, по одному со всех предыдущих сидюков, так и поймешь великую силу дебиана. Короче, без нормального канала с дебианом связываться бесполезно. Только душевное здоровье потеряешь.

Уууууу.... Да уж, связался, блин. А что тогда есть типа слаки, чтоб ставилось всё нужное с 2..4 CD и сразу с "девелоперскими пакетами" и чтоб без всех этих зависимостей (я уж сам с ними разберусь). Неужто только слака и гента?

Slackware, Gentoo, Mandrake, Fedora. В последних двух тоже пакеты
не одним куском, то хоть не так меленько. И на 2-4 CD все девелоперские пакеты есть (хотя у Слаки вообще на один все убирается, если без Гнома и без ненужных kde-18n/koffice-i18n, ну или с Гномом без KDE)

О, коллега по несчастью ;) Я вижу многие комфортно сидевшие на слаке
стали смотреть в разные стороны на другие дистрибутивы. Я тоже глянул
в сторону gentoo - ужас, посмотрел ещё раз на дебиан - ужас. И куда
бедному кретьянину податься? Истинную ценность слаки я понял только
после вынужденного сравнения с другими... Слака экономила мне кучу
времени и нервов!

Похоже, мне остается только gentoo... :(

Шляпоклякой я успел насладиться два года назад, больше не хочется. SuSE видел только на LiveCD, но что она будет представлять собой, когда взгромоздится на мой винт, могу себе представить. С дибьеном теперь тоже всё стало ясно. Вот сижу, читаю gentoo handbook, выбираю себе stage и right installation medium... :(

gentoo? Иснталляшка по типу "сделай сам" или "догадайся мол сама" или
"сапёр ошибается один раз" или "кто чего не понял - я не виноват" ;)
Инсталляция отымает кучу времени и денег. Для себя можно повозиться
наверное... если совсем нечего больше делать. Если ставить за деньги,
то выйдет себе дороже. Нет, нам такой хоккей не нужен. Ей-богу проще уж
LFS замутить. Ну, или почти одинаково по затратам,

Я собираюсь посмотреть, во что выльется stage3+GRP. Если судить по описанию, то геморройно, конечно, но можно справиться относительно быстро. Завтра проверю

А ядро всё равно выкачивать придётся. И portage. Ну не приспособлен
этот дистр от рождения ставиться без сети и компиляции. stage3+GRP
реально выливается в два сидюка. Слака (сервер) ставится даже с
миниCD. Ну, как ни крути, а гимор с этим gentoo обеспечен. По крайней
мере на стадии установки.