Один из участников проекта OpenBSD обнаружил (https://lists.freedesktop.org/archives/xorg/2016-October/058...) несколько уязвимостей в различных клиентских библиотеках X.Org, проявляющихся в коде обработки ответов от сервера. Большинство уязвимостей позволяют инициировать запись данных злоумышленника за границы буфера, что может привести к выполнению кода на стороне X-клиента при взаимодействии с подконтрольным атакующему X-сервером.
Проблемы вызваны отсутствием проверок корректности данных, передаваемых сервером. Обычно клиент и сервер выполняются на одной машине под одним пользователем или сервер работает с более высокими привилегиями, но существует ряд сценариев, при которых привилегированный клиент подсоединяется к непривилегированному стороннему серверу. Например, setuid X-клиент, такой как блокировщик экрана, может обращаться к подконтрольному другому пользователю виртуальному X-серверу, такому как Xvfb или Xephyr.Подверженные уязвимостям библиотеки и версии, в которых ожидается исправление:
- libX11 1.6.4
- libXfixes 5.0.3
- libXi 1.7.7
- libXrandr 1.5.1
- libXrender 0.9.10
- libXtst 1.2.3
- libXv 1.0.11
- libXvMC 1.0.10URL: https://lists.freedesktop.org/archives/xorg/2016-October/058...
Новость: http://www.opennet.ru/opennews/art.shtml?num=45275
В общем, сценарии атаки - адовая экзотика
JFYI, разработчики DRI/KMS и прочей инфраструктуы давно в курсе что иксы с точки зрения безопасности - EPIC FAIL. Через иксовые апи можно лазить по памяти чужих процессов, перехватывать ввод в любую программу и даже запустить иксы не из-под рута - отдельное приключения.
А как же SSP и NX-bit?
С ними всё в порядке
после исправления уязвимостей обязательно что-нить сломают.
В последнее время создаётся впечатление, что поиск "уязвимостей" превратился в бизнес (непонятно только где тут деньги) или в спорт (ВАДА, ау). Такие шизофренические сценарии "атак" изобретают, что кетайским кулхацкерам даже в наркотическом угаре не привидятся.
https://hackerone.com/
> В последнее время создаётся впечатление, что поиск "уязвимостей" превратился в бизнес
> (непонятно только где тут деньги)На ближайшей ярмарке ответных частей...
Тем не менее, доступ за границы массива - это всё равно ошибка. И надо бы её исправить. Даже если от этой ошибки не зависит безопасность.
безусловно
OpenBSD ведёт свой проект Xenocara, портируя X.org. Логично, что они разбираются в коде, который портируют. Такое тоже бывает. Особенно в OpenBSD.
> сценарии "атак" изобретают, что кетайским кулхацкерам даже в наркотическом угаре не привидятся.Так это и есть смысл большинства атак: атакующий мыслит креативно и скармливает программе что-нибудь очень нестандартное. Чаще всего оказывается что програмер был значительно менее предусмтрителен в обработке таких вещей чем укуренные китайские кулхацкеры. Программа идет вразнос, логика выполнения ломается. В лучшем случае хацкер извлекает с этого какие-то дивиденды.
Если хочешь посмотреть на что-нибудь этакое - как тебе Return Oriented Programming и прочие ret2libc? Хакеры могут заэнфорсить свою логику по кусочкам даже если свой код залить нельзя - используя кусочки уже существовавшего кода нецелевым образом. От такой наглости даже NX-бит не спасет.
> Большинство уязвимостей позволяют инициировать запись данных злоумышленника за границы буфераОпять синюшники облажались. Да, работа с буферами - не их конёк.
> Да, работа с буферами - не их конёк....сказал -- и сдёрнул покрывало с собственной реализации графической подсистемы без единого гвоздя.
> собственной реализации графической подсистемы... которая, правда, написана на яве и потому требует 8ГБ RAM (что для современного десктопа не много, так что проблем с этим нет), и работает пока только из PuTTY-сессии из Windows 8+ во FreeBSD (но работы по портированию уже ведутся).
Щас вот патчил иксы в своём неофициальном репе. Судя по предыдущим патчсетам, крупных факапов в иксах было немного за последние 5 лет.
У юзеров устаревших языков сильно пригорело
> устаревшихЭто каких например?
Ada? Oberton? Smalltalk? Cobalt?
То что ты назвал не устаревшие, а вымершие. Разговор про си и плюсы
> вымершиеСкажите это банкам.
Устаревшие - это те, на которых написано почти всё?
> Опять синюшники облажались. Да, работа с буферами - не их конёк.Так покажи класс как это делать правильно. Только имей в виду: иксы даже на сях то тормозные до неприличия.
Ждем новости: "OpenBSD прекращает поддержку X.org в виду проблем с безопасностью"
Они ребята суровые. Скорее уж форкнут иксы как OpenSSL, выкинут большую часть и будут спокойно юзать дальше. Вейланд этот ваш после этого можно будет выкидывать, но вряд-ли кто-то расстроится.
> Они ребята суровые. Скорее уж форкнут иксы как OpenSSL, выкинут большую часть
> и будут спокойно юзать дальше. Вейланд этот ваш после этого можно
> будет выкидывать, но вряд-ли кто-то расстроится.http://xenocara.org/
https://en.wikipedia.org/wiki/Xenocara
> utilises a dedicated _x11 user by default to drop privileges and perform privilege separation
> in accordance to OpenBSDs least privilege policy.
> Они ребята суровые. Скорее уж форкнут иксы как OpenSSL, выкинут большую частьУ них разработчики для этого есть? Внутренности иксов ужасны чуть более чем полностью, не очень понятно где опенбсдшники ресурсы возьмут на ЭТО.
Ждём бэкпортов в RHEL
Вообще говоря, Matthieu Herb — настолько же разработчик OpenBSD, насколько разработчик X, и фактический мейнтейнер Xenocara (X.org в OpenBSD).
я не знаю, что это значит, но что он разработчик OpenBSD - сомнений не вызывает, очень часто мелькает везде. например:http://obsd.gk11.ru/gzt/obsde_1.html#_%D0%BC%...
маловероятно, что dhcpv6 относится к X
сетевая прозрачность очень нужная фича, говорили они..
> сетевая прозрачность очень нужная фича, говорили они..Да, нужная.
То что есть в иксах это исторический курьез и экспонат для кунсткамеры.
Других вариантов пока не придумали :-(
> сетевая прозрачность очень нужная фича, говорили они...Да вам вообще ничего кроме браузера не нужно.
Сетевая прозрачность - это хорошо. Я этим довольно часто пользуюсь в локалке.
За более чем 10 лет юзания пингвинов ни разу не пользовался.
Какой-то жуткий оуверхед с непонятным юзеркейсом.
Обычно всегда требуется соснольный коннект.
я постоянно пользуюсь. ну, самое простое, это из OpenBSD использую VirtualBox/kvm с соседнего компьютера, на котором Debian (в OpenBSD, понятное дело, VirtualBox-а и kvm нет)да, конечно, можно заранее подготовиться:
1. скачать проприетарный плюгин
2. установить его
3. настроить для КАЖДОЙ машины вывод в RDP
4. поставить на клиенте rdp-клиент
5. подбежать к той машине и нажать пимпочку start
6. подключиться rdp-клиентоми всё равно иметь неудобства с настройкой и прочим
а можно просто ввести ssh -YC host, и безо всякой подготовки заранее, а сразу, получить на своём десктопе окно virtualbox. или любое другое. с 0 телодвижений по подготовке этого процесса.
> а можно просто ввести ssh -YC hostssh -tCY gw ssh -CY host VirtualBox
:)
> а можно просто ввести ssh -YC host, и безо всякой подготовки заранее,Но при сколь-нибудь интенсивной отрисовке все это будет жесточайше тормозить. Хотя-бы за счет шифрования огромных массивов данных.
>> а можно просто ввести ssh -YC host, и безо всякой подготовки заранее,
> Но при сколь-нибудь интенсивной отрисовке все это будет жесточайше тормозить.
> Хотя-бы за счет шифрования огромных массивов данных.1) не массивов, а потоков;
2) попробуйте на досуге посмотреть, какой поток способен шифровать на лету Ваш компьютер.
уже прилетело обновление в default distro
> уже прилетело обновление в default distroв OpenBSD? уже несколько дней, как :)