29 ответов в этой теме

[SHIELD]

Здравствуйте.

Интересует мнение форумчан и вообще всех кому интересна данная тема.

Цитирую статью об обнаруженной уязвимости:
"
Брешь содержится в библиотеке libXfont и позволяет удаленно получить привилегированный доступ к системе.

Как сообщает независимый исследователь безопасности Илья ван Шпрундель (Ilja van Sprundel), ему удалось обнаружить рекордно старую уязвимость в графической оболочке для Linux от X.Org, датируемую 1991 годом. Как следует из его доклада "X Security - It's worse than it looks", брешь содержится в библиотеке libXfont, используемой всеми продуктами проекта.

По данным Шпрунделя, соответствующая ошибка связана с переполнением стека при обработке шрифтов BDF, в том числе при наличии слишком длинной строки в файле BDF. При этом, если уязвимый сервер работает с повышенными привилегиями, потенциальные злоумышленники могут получить административный доступ к системе.

В настоящий момент  брешь  уже была устранена разработчиками X.Org. Исправление включено в новую версию библиотеки libXfont 1.4.7.

Отметим, что в общей сложности в рамках исследования Шпрунделю удалось обнаружить порядка 120 уязвимостей, большинство из которых выявлены при помощи аналитического инструмента исходных кодов cppcheck. По данным представителей X.Org, многие представленные бреши действительно представляют собой серьезную угрозу безопасности.

Видеозапись отчета "X Security - It's worse than it looks" доступна здесь:
http://media.ccc.de/browse/congress/2013/30C3_-_5499_-_en_-_saal_1_-_201312291830_-_x_security_-_ilja_van_sprundel.html
"

Ссылка на цитируемую статью:
http://www.securitylab.ru/news/448807.php

[GEV]

Нашли и нашли, исправили:

libxfont (1:1.4.5-2ubuntu0.13.04.1) raring-security; urgency=low

 

* SECURITY UPDATE: denial of service and possible code execution via

stack overflow

- debian/patches/CVE-2013-6462.patch: limit sscanf field in

src/bitmap/bdfread.c.

- CVE-2013-6462

 

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Mon, 30 Dec 2013 17:35:09 -0500

Новость ни о чем.  

[SHIELD]

Новость ни о чем.

 

Вы как старый самоуверенный айтишник...
И многие бросились обновляться?
Наверняка никто даже не "почесался" чтобы посмотреть свою версию библиотеки,
самое максимум что сделали - это поковырялись в носу и сказали "это опасно только когда будет опасно...".
Дебиан и убунту конечно популярные ОС, но остальные не так быстро реагируют...

[l.e.e.]

Новость ни о чем.

Брешь содержится в библиотеке libXfont и позволяет удаленно получить привилегированный доступ к системе.

То есть это фигня ?

[GEV]

То есть это фигня ?

Абсолютная, можете привести удачный пример монетизации уязвимости в Linux?

[SergSG]

 

То есть это фигня ?

Абсолютная, можете привести удачный пример монетизации уязвимости в Linux?

Да. Эта уязвимость называется АндоЕд. Одна большая сплошная уязвимость.

[l.e.e.]

 

То есть это фигня ?

Абсолютная, можете привести удачный пример монетизации уязвимости в Linux?

А шпионаж разве не приносит монет ? Думается за 23 г. много воды могло утечь.

http://www.xakep.ru/post/61850/

Интересно как это отразилось в LiveCD DrWeb, проблем с X.Org было много.

[GEV]

А шпионаж разве не приносит монет ? Думается за 23 г. много воды могло утечь.

А если теорию заговоров вынести за скобки? что-то еще нашли?

[l.e.e.]

 

А шпионаж разве не приносит монет ? Думается за 23 г. много воды могло утечь.

А если теорию заговоров вынести за скобки? что-то еще нашли?

---Похоже, что созданный 30 лет назад протокол X Window System не слишком приспособлен для современного мира.

 

 

В X Window System предусмотрена сетевая прозрачность: графические приложения могут выполняться на другой машине в сети, а их интерфейс при этом будет передаваться по сети и отображаться на локальной машине пользователя (в случае, если это разрешено в настройках). В контексте X Window System термины «клиент» и «сервер» имеют непривычное для многих пользователей значение: «сервер» означает локальный дисплей пользователя (дисплейный сервер), а «клиент» — программу, которая этот дисплей использует (она может выполняться на удалённом компьютере).

Это как удалённый рабочий стол ?

Сообщение было изменено l.e.e.: 09 Январь 2014 - 21:50

[GEV]

Вы как старый самоуверенный айтишник...

Найденной уязвимостью еще нужно суметь воспользоваться, погуглите на досуге "взлом гугл ос", деньги предлагают до 150 тон уе. Чтож ни кто не сорвал куш и славу? Подобные новости могут возбуждать разве что начинающих хацкеров начитавшихся форумных баек. В реальной жизни один Сноуден нанес больше ущерба чем мильены багов действующих и будущих.     

[SHIELD]

 

 

В X Window System предусмотрена сетевая прозрачность: графические приложения могут выполняться на другой машине в сети, а их интерфейс при этом будет передаваться по сети и отображаться на локальной машине пользователя (в случае, если это разрешено в настройках). В контексте X Window System термины «клиент» и «сервер» имеют непривычное для многих пользователей значение: «сервер» означает локальный дисплей пользователя (дисплейный сервер), а «клиент» — программу, которая этот дисплей использует (она может выполняться на удалённом компьютере).

Это как удалённый рабочий стол ?

 

 

Гномовский удаленный раб.стол работает в связке VNC+XWindowSystem, если работать без связки то тогда отдельная гном-сессия, но тогда неудобно - невидно че пользователь чудит.

[SHIELD]

 

Вы как старый самоуверенный айтишник...

Найденной уязвимостью еще нужно суметь воспользоваться, погуглите на досуге "взлом гугл ос", деньги предлагают до 150 тон уе. Чтож ни кто не сорвал куш и славу? Подобные новости могут возбуждать разве что начинающих хацкеров начитавшихся форумных баек. В реальной жизни один Сноуден нанес больше ущерба чем мильены багов действующих и будущих.     

 

 

Цитата из фильма:
"
- Ты видишь суслика?
- Нет
- И я нет
- Но он там есть...
"

 

Можно нанать тех кто умеет.

Может так быть - что никто не видит как воруется информация,
ну а информацию можно превратить в деньги или в большие деньги и никому об этом не говорить (ну раз деньгами начали мерить стимул взлома).
А то вдруг миф рухнет о "неприступности" ОС ЮНИКС.

Например логи кредиток сплавить кардерам-бегунам.
Бегуны - потому что когда они снимают деньги, они сразу убегают. Работают по принципу детской игры: кто не спрятался - я не виноват...

Еще например банковские онлайн-аккаунты  сплавить "лисам".
Лисы - потому что они через прокси и VPN-ны так запутывают дорожку, что черт ногу сломит...

Ну а детские игры с локерами оставить на виндовс ОС, так как это мелочевка для забавы... ведь вряд ли нормальный чел не сможет загрузить свою собственную ОС на компе, который у него в руках (уже куча людей умеют включать комп удаленным способом)
 

[GEV]

#5? .....бла....бла.....бла....

[SHIELD]

 

А шпионаж разве не приносит монет ? Думается за 23 г. много воды могло утечь.

А если теорию заговоров вынести за скобки? что-то еще нашли?

 

 

А если эту теорию не выносить, то получается:
1- внедряется какая-то дрянь в мой комп
2- ресурсы моего компа работают на какого дядю, зарабатывают "битпоинты" или как они там у них обзываются
3- этот дядя продает эти "битпоинты" тому кто больше заплатит, либо АНБ, либо ФСБ, либо китайцам, да хоть самому дьяволу, лишь бы платил побольше...
4- те уже прокрутят по своей линии
5- потом придумают "хорошую" прогу для получения "битпоинтов"
6- внедрят ее всем, в том числе и мне
7- далее по кругу - см. 1-пункт

Вывод:
я сам, точнее мой комп платить за то, чтобы работать на кого-то дядю.
Я так не хочу!

[SHIELD]

Видеозапись отчета "X Security - It's worse than it looks" доступна здесь:
http://media.ccc.de/browse/congress/2013/30C3_-_5499_-_en_-_saal_1_-_201312291830_-_x_security_-_ilja_van_sprundel.html

 

Классно Илья выступил на конференции, тока не все понятно из его презентации...
но специалисты из x.org признали серьезность некоторых уязвимостей (ну раз обновление выпустили)

[k.nikolenko]

А то вдруг миф рухнет о "неприступности" ОС ЮНИКС.

Оно такое же решето. Вот когда процент установленных *nix систем на десктопах будет соизмерим с процентом windows, вот тогда и начнут активно искать и использовать уязвимости.

[IlyaS]

Вона как, а я думаю, чего это сегодня X-ы в LiveCD не запускаются
(фоток и прочих вещдоков не осталось)

[Aleksandra]

Интересует мнение форумчан

В особенности виндузятников... И чем больше мнений, тем веселее читать.

[SHIELD]

 

Интересует мнение форумчан

В особенности виндузятников... И чем больше мнений, тем веселее читать.

 

 

Не надо провоцировать... Все люди выбирают ОС из-за своих потребностей, вкусов и возможностей. И то, что есть большой выбор ОС - это хорошо! Если одна ОС надоела, то можно пересесть за другую

[mrbelyash]

 

Интересует мнение форумчан

В особенности виндузятников... И чем больше мнений, тем веселее читать.

 

 

Вопрос специалисту Линукса.

 

Как через HDMI вывести картинку на телевизор,при этом на мониторе имея рабочий стол?

Хочу смотреть фильмы на тв и щелкать на мониторе.

AMD

 

На винде могу, на минте нет.