Здравствуйте.
Интересует мнение форумчан и вообще всех кому интересна данная тема.
Цитирую статью об обнаруженной уязвимости:
"
Брешь содержится в библиотеке libXfont и позволяет удаленно получить привилегированный доступ к системе.
Как сообщает независимый исследователь безопасности Илья ван Шпрундель (Ilja van Sprundel), ему удалось обнаружить рекордно старую уязвимость в графической оболочке для Linux от X.Org, датируемую 1991 годом. Как следует из его доклада "X Security - It's worse than it looks", брешь содержится в библиотеке libXfont, используемой всеми продуктами проекта.
По данным Шпрунделя, соответствующая ошибка связана с переполнением стека при обработке шрифтов BDF, в том числе при наличии слишком длинной строки в файле BDF. При этом, если уязвимый сервер работает с повышенными привилегиями, потенциальные злоумышленники могут получить административный доступ к системе.
В настоящий момент брешь уже была устранена разработчиками X.Org. Исправление включено в новую версию библиотеки libXfont 1.4.7.
Отметим, что в общей сложности в рамках исследования Шпрунделю удалось обнаружить порядка 120 уязвимостей, большинство из которых выявлены при помощи аналитического инструмента исходных кодов cppcheck. По данным представителей X.Org, многие представленные бреши действительно представляют собой серьезную угрозу безопасности.
Видеозапись отчета "X Security - It's worse than it looks" доступна здесь:
http://media.ccc.de/browse/congress/2013/30C3_-_5499_-_en_-_saal_1_-_201312291830_-_x_security_-_ilja_van_sprundel.html
"
Ссылка на цитируемую статью:
http://www.securitylab.ru/news/448807.php
В X.Org обнаружили уязвимость 20-летней давности
#1
Отправлено 09 Январь 2014 - 17:26
#2
Отправлено 09 Январь 2014 - 19:53
Нашли и нашли, исправили:
libxfont (1:1.4.5-2ubuntu0.13.04.1) raring-security; urgency=low
* SECURITY UPDATE: denial of service and possible code execution via
stack overflow
- debian/patches/CVE-2013-6462.patch: limit sscanf field in
src/bitmap/bdfread.c.
- CVE-2013-6462
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Mon, 30 Dec 2013 17:35:09 -0500
Новость ни о чем.
#3
Отправлено 09 Январь 2014 - 20:23
Новость ни о чем.
Вы как старый самоуверенный айтишник...
И многие бросились обновляться?
Наверняка никто даже не "почесался" чтобы посмотреть свою версию библиотеки,
самое максимум что сделали - это поковырялись в носу и сказали "это опасно только когда будет опасно...".
Дебиан и убунту конечно популярные ОС, но остальные не так быстро реагируют...
#5
Отправлено 09 Январь 2014 - 20:45
То есть это фигня ?Абсолютная, можете привести удачный пример монетизации уязвимости в Linux?
#6
Отправлено 09 Январь 2014 - 21:06
То есть это фигня ?Абсолютная, можете привести удачный пример монетизации уязвимости в Linux?
Да. Эта уязвимость называется АндоЕд. Одна большая сплошная уязвимость.
#7
Отправлено 09 Январь 2014 - 21:21
То есть это фигня ?Абсолютная, можете привести удачный пример монетизации уязвимости в Linux?
А шпионаж разве не приносит монет ? Думается за 23 г. много воды могло утечь.
http://www.xakep.ru/post/61850/
Интересно как это отразилось в LiveCD DrWeb, проблем с X.Org было много.
#8
Отправлено 09 Январь 2014 - 21:36
А шпионаж разве не приносит монет ? Думается за 23 г. много воды могло утечь.А если теорию заговоров вынести за скобки? что-то еще нашли?
#9
Отправлено 09 Январь 2014 - 21:46
А шпионаж разве не приносит монет ? Думается за 23 г. много воды могло утечь.А если теорию заговоров вынести за скобки? что-то еще нашли?
---Похоже, что созданный 30 лет назад протокол X Window System не слишком приспособлен для современного мира.
В X Window System предусмотрена сетевая прозрачность: графические приложения могут выполняться на другой машине в сети, а их интерфейс при этом будет передаваться по сети и отображаться на локальной машине пользователя (в случае, если это разрешено в настройках). В контексте X Window System термины «клиент» и «сервер» имеют непривычное для многих пользователей значение: «сервер» означает локальный дисплей пользователя (дисплейный сервер), а «клиент» — программу, которая этот дисплей использует (она может выполняться на удалённом компьютере).
Это как удалённый рабочий стол ?
Сообщение было изменено l.e.e.: 09 Январь 2014 - 21:50
#10
Отправлено 10 Январь 2014 - 09:37
Вы как старый самоуверенный айтишник...Найденной уязвимостью еще нужно суметь воспользоваться, погуглите на досуге "взлом гугл ос", деньги предлагают до 150 тон уе. Чтож ни кто не сорвал куш и славу? Подобные новости могут возбуждать разве что начинающих хацкеров начитавшихся форумных баек. В реальной жизни один Сноуден нанес больше ущерба чем мильены багов действующих и будущих.
#11
Отправлено 10 Январь 2014 - 09:44
В X Window System предусмотрена сетевая прозрачность: графические приложения могут выполняться на другой машине в сети, а их интерфейс при этом будет передаваться по сети и отображаться на локальной машине пользователя (в случае, если это разрешено в настройках). В контексте X Window System термины «клиент» и «сервер» имеют непривычное для многих пользователей значение: «сервер» означает локальный дисплей пользователя (дисплейный сервер), а «клиент» — программу, которая этот дисплей использует (она может выполняться на удалённом компьютере).
Это как удалённый рабочий стол ?
Гномовский удаленный раб.стол работает в связке VNC+XWindowSystem, если работать без связки то тогда отдельная гном-сессия, но тогда неудобно - невидно че пользователь чудит.
#12
Отправлено 10 Январь 2014 - 10:09
Вы как старый самоуверенный айтишник...Найденной уязвимостью еще нужно суметь воспользоваться, погуглите на досуге "взлом гугл ос", деньги предлагают до 150 тон уе. Чтож ни кто не сорвал куш и славу? Подобные новости могут возбуждать разве что начинающих хацкеров начитавшихся форумных баек. В реальной жизни один Сноуден нанес больше ущерба чем мильены багов действующих и будущих.
Цитата из фильма:
"
- Ты видишь суслика?
- Нет
- И я нет
- Но он там есть...
"
Можно нанать тех кто умеет.
Может так быть - что никто не видит как воруется информация,
ну а информацию можно превратить в деньги или в большие деньги и никому об этом не говорить (ну раз деньгами начали мерить стимул взлома).
А то вдруг миф рухнет о "неприступности" ОС ЮНИКС.
Например логи кредиток сплавить кардерам-бегунам.
Бегуны - потому что когда они снимают деньги, они сразу убегают. Работают по принципу детской игры: кто не спрятался - я не виноват...
Еще например банковские онлайн-аккаунты сплавить "лисам".
Лисы - потому что они через прокси и VPN-ны так запутывают дорожку, что черт ногу сломит...
Ну а детские игры с локерами оставить на виндовс ОС, так как это мелочевка для забавы... ведь вряд ли нормальный чел не сможет загрузить свою собственную ОС на компе, который у него в руках (уже куча людей умеют включать комп удаленным способом)
#13
Отправлено 10 Январь 2014 - 10:22
#5? .....бла....бла.....бла....
#14
Отправлено 10 Январь 2014 - 10:29
А шпионаж разве не приносит монет ? Думается за 23 г. много воды могло утечь.А если теорию заговоров вынести за скобки? что-то еще нашли?
А если эту теорию не выносить, то получается:
1- внедряется какая-то дрянь в мой комп
2- ресурсы моего компа работают на какого дядю, зарабатывают "битпоинты" или как они там у них обзываются
3- этот дядя продает эти "битпоинты" тому кто больше заплатит, либо АНБ, либо ФСБ, либо китайцам, да хоть самому дьяволу, лишь бы платил побольше...
4- те уже прокрутят по своей линии
5- потом придумают "хорошую" прогу для получения "битпоинтов"
6- внедрят ее всем, в том числе и мне
7- далее по кругу - см. 1-пункт
Вывод:
я сам, точнее мой комп платить за то, чтобы работать на кого-то дядю.
Я так не хочу!
#15
Отправлено 10 Январь 2014 - 10:38
Видеозапись отчета "X Security - It's worse than it looks" доступна здесь:
http://media.ccc.de/browse/congress/2013/30C3_-_5499_-_en_-_saal_1_-_201312291830_-_x_security_-_ilja_van_sprundel.html
Классно Илья выступил на конференции, тока не все понятно из его презентации...
но специалисты из x.org признали серьезность некоторых уязвимостей (ну раз обновление выпустили)
#16
Отправлено 10 Январь 2014 - 15:19
А то вдруг миф рухнет о "неприступности" ОС ЮНИКС.
Оно такое же решето. Вот когда процент установленных *nix систем на десктопах будет соизмерим с процентом windows, вот тогда и начнут активно искать и использовать уязвимости.
#17
Отправлено 10 Январь 2014 - 21:41
(фоток и прочих вещдоков не осталось)
#18
Отправлено 10 Январь 2014 - 23:38
В особенности виндузятников... И чем больше мнений, тем веселее читать.Интересует мнение форумчан
#19
Отправлено 11 Январь 2014 - 12:45
В особенности виндузятников... И чем больше мнений, тем веселее читать.Интересует мнение форумчан
Не надо провоцировать... Все люди выбирают ОС из-за своих потребностей, вкусов и возможностей. И то, что есть большой выбор ОС - это хорошо! Если одна ОС надоела, то можно пересесть за другую
#20
Отправлено 11 Январь 2014 - 12:59
В особенности виндузятников... И чем больше мнений, тем веселее читать.Интересует мнение форумчан
Вопрос специалисту Линукса.
Как через HDMI вывести картинку на телевизор,при этом на мониторе имея рабочий стол?
Хочу смотреть фильмы на тв и щелкать на мониторе.
AMD
На винде могу, на минте нет.
Also tagged with one or more of these keywords: x.org, linux, уязвимость, линукс
Русские форумы →
Общие вопросы →
Уязвимость тгАвтор: Lur , 21 мар 2024 телаграм, уязвимость |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Enterprise Suite 10 на Debian - ошибка клиентов на WindowsАвтор: demonoffuture , 08 фев 2024 linux, agent, ошибка |
|
|
||
Русские форумы →
Dr.Web для Unix →
kswapd0 - Unpacking errorАвтор: wcpgrief , 03 дек 2022 Unpacking errorб, samba, smb и еще 1… |
|
|
||
Русские форумы →
Dr.Web для Unix →
Как понизить потребление процессора в режиме full scan?Автор: iceja , 04 июн 2022 linux |
|
|
||
English forums →
Dr.Web for Unix (English) →
Unable to Register Linux VersionАвтор: netsurfer38 , 23 янв 2022 Ubuntu, Register, License, Linux |
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых