Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление libinput 1.20.1 с устранением уязвимости"	+/–
Сообщение от opennews (ok), 20-Апр-22, 13:57
В библиотеке libinput 1.20.1, предоставляющей унифицированный стек ввода, позволяющий использовать одни и те же средства обработки событий от устройств ввода в окружениях на базе Wayland и X.Org, устранена уязвимость (CVE-2022-1215), позволяющая организовать выполнение своего кода при подключении к системе специально модифицированного/эмулируемого устройства ввода. Проблема проявляется в окружениях на базе X.Org и Wayland, и может быть эксплуатирована как при локальном подключении устройств, так и при манипуляциях с устройствами  с интерфейсом Bluetooth. В случае выполнения X-сервера с правами root уязвимость позволяет добиться выполнения кода с повышенными привилегиями... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57053
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

3. Сообщение от Анонн (?), 20-Апр-22, 14:00	+4 +/–
Какая прелесть. Прям классика. Даже комментировать нечего.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #14, #40

4. Сообщение от Аноним (5), 20-Апр-22, 14:10	+1 +/–
> в окружениях на базе Wayland ... выполнение своего кода при подключении ... специально модифицированного/эмулируемого устройства ввода Какая прелесть! А что ещё припасено в шкафу у этой команды вайленда? Для иксовых программ эта либа не нужна.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

5. Сообщение от Аноним (5), 20-Апр-22, 14:10	+9 +/–
> Какая прелесть Бро, держи краба!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #11

6. Сообщение от Аноним (6), 20-Апр-22, 14:20	–1 +/–
> Для иксовых программ эта либа не нужна нужна
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7

7. Сообщение от Аноним (5), 20-Апр-22, 14:30	+/–
У меня иксы есть, а какой-то libinput - отродясь не было и нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #8, #33

8. Сообщение от Аноним (8), 20-Апр-22, 15:12	+/–
С тех пор, как kbd/mouse депрекейтнули, вариантов не много. Evdev дрянь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #13, #32

9. Сообщение от test (??), 20-Апр-22, 15:19	+3 +/–
У меня xorg под юзером
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

10. Сообщение от ip1982 (ok), 20-Апр-22, 15:25	+4 +/–
При подключении вредоносного человека к клавиатуре :)
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (11), 20-Апр-22, 15:45	–2 +/–
Я бы сказал cRustoceanа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #46

12. Сообщение от Аноним (11), 20-Апр-22, 15:50	+4 +/–
Справедливости ради - при подключении вредоносного устройства ввода можно эмулировать этот самый ввод и через ввод команд сделать что нужно. Для исполнения sh-скрипта, ищущего на компе SSH-ключи и криптовалюные кошельки права рута не требуются. Кто хочет защититься - тот использует https://packages.ubuntu.com/jammy/usbauth .
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #17

13. Сообщение от Аноним (13), 20-Апр-22, 15:54	–1 +/–
kbd/mouse тоже от чего-то подобного не застрахованы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #25, #30

14. Сообщение от Аноним (14), 20-Апр-22, 16:20	+7 +/–
сенсация века. аноним уходит с опеннета, потому что нечего больше комментировать. все комментарии уже написаны. а некоторые и не один раз. а некоторые и не 100. знай, подставляй в случайном порядке, а всё это можно сделать и без анонима.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

15. Сообщение от Анонн (?), 20-Апр-22, 17:01	+1 +/–
М... так там написано, что уязвимость и по блютус тоже работает. Как тут usbauth поможет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23

16. Сообщение от Анонн (?), 20-Апр-22, 17:07	+/–
А вообще забавно. "Уязвимости в swhkd", которой пользуются полторы калеки из суси попала в "Главные новости" А эта "Уязвимость в libinput" которая есть ну дофига где, в "мини-новости". Неужели безопасность всех пользователей libinput не достойна "Главной новости"?))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

17. Сообщение от Аноним (17), 20-Апр-22, 17:10	+1 +/–
> при подключении вредоносного устройства ввода можно эмулировать этот самый ввод и через ввод команд сделать что нужно Даже готовые продукты были на рынке прд это дело, с виду флешка, а в ней кроме накопителя минимальный обвес для стимуляции ввода. Закидываешь скрипт.txt, подключаешь и готово. Я так пару десятков биосов как-то раз настраивал, когда Dell облажался и прислал ненастроенные серваки. Но так-то при наличии физического доступа к машине можно много чего сделать. А при физическом доступе к владельцу и подавно. Пальцы в дверь и через минуту хруста все пароли расхэшируются сами собой как по волшебству.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #21, #31, #56

18. Сообщение от Аноним (18), 20-Апр-22, 17:56	–2 +/–
Ну так разжечь то надо. Там руст-хруст, а, следовательно, 100500 комментариев. А тут священная сишечка, да еще и няшный ксорг. Идеологически нельзя допускать даже мысли что первое не так важно как второе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #20

20. Сообщение от Аноним (20), 20-Апр-22, 19:28	+3 +/–
Суть в том что мегазащищенные хруст с гейландом ничем не лучше сишечки и иксов. Даже хуже, потому как первые не декларируются как "более лучшая замена" вторых, по факту таковыми не являющиеся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от Аноним (11), 20-Апр-22, 19:51	+1 +/–
>Я так пару десятков биосов как-то раз настраивал, когда Dell облажался и прислал ненастроенные серваки. Наверное легче было вручную настроить, чем скрипт отладить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #27

23. Сообщение от Аноним (23), 20-Апр-22, 20:36	+/–
Очевидно, не подключать через блютуз.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #35

25. Сообщение от nvidiaamd (?), 20-Апр-22, 21:08	–3 +/–
Но до сих пор работают и там этого нет. А почему? А потому что ваши вяленые ручки туда не добрались, и это хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

27. Сообщение от systemdnoname (?), 20-Апр-22, 21:55	+/–
когда у тебя сотни физических серверов - не легче. ВСегда делаю скрипты на что-то больше 0. рекомендую.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

28. Сообщение от Аноним (28), 20-Апр-22, 22:04	–2 +/–
Не поленитесь, сходите посмотреть на "исправление". Это ржака: > Return a copy of str with all % converted to %% to make the string * acceptable as printf format. Костыли для языка-инвалида из 70-х.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #39

29. Сообщение от Аноним (29), 20-Апр-22, 22:49	+/–
Мда... Это просто facepalm какой-то... Для ленивых вот коммит https://gitlab.freedesktop.org/libinput/libinput/-/commit/2a..., функция str_sanitize
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #36

30. Сообщение от Аноним (8), 21-Апр-22, 00:13	+1 +/–
> kbd/mouse тоже от чего-то подобного не застрахованы. Они меньше и проще, им не нужно уметь всё на свете и они прекрасно справляются со всеми своими обязанностями. Скорее всего, там нет такой ерунды с идентификаторами (которые могут быть вообще любой дичью). Но, не модно, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #42

31. Сообщение от Аноним (31), 21-Апр-22, 00:32	+/–
> обвес для стимуляции ввода Током било и в таком духе?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

32. Сообщение от Аноним (32), 21-Апр-22, 01:51	+1 +/–
>Evdev дрянь Поясни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #44

33. Сообщение от Аноним (6), 21-Апр-22, 04:00	–1 +/–
у меня иксы есть, а какой-то libinput - всегда есть. при его удалении сносится пол системы, включая, например, qt5/qt6 (давай, как баран, зацепись за пример с qt и только на эту часть отвечай)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #34

34. Сообщение от Аноним (6), 21-Апр-22, 04:01	–1 +/–
отвечать про qt желательно в духе "не нужно, кокoко, qt плохой"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #52

35. Сообщение от Аноним (5), 21-Апр-22, 07:11	+/–
и комп из розетки выдернуть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

36. Сообщение от Аноним (36), 21-Апр-22, 10:53	+/–
https://gitlab.freedesktop.org/libinput/libinput/-/commit/2a... FF запятую в адрес суёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #37

37. Сообщение от Аноним (37), 21-Апр-22, 11:25	+/–
> FF запятую в адрес суёт. curl тоже, не говоря о links, и даже chromium
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

38. Сообщение от crypt (ok), 21-Апр-22, 11:38	+/–
это только в OpenBSD по-моему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #51, #55

39. Сообщение от uis (ok), 21-Апр-22, 12:57	+3 +/–
> Костыли для языка-инвалида из 70-х. Скорее просто костыли инвалида. Во всех мануалах им пишут "не суй непроверенные данные в формат", а они суют и суют. Настоящие решения: 1) printf("%s", strintg) 2) fwrite(string, strlen(string), 1, stdout)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #49

40. Сообщение от uis (ok), 21-Апр-22, 13:06	+1 +/–
-fstack-protector
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #41

41. Сообщение от Анонн (?), 21-Апр-22, 13:23	+/–
Это конечно хорошо, но оно "лечит" только последствия, а не первопричину. И по какой-то странной причине его не включают по умолчанию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #47, #54

42. Сообщение от Аноним (42), 21-Апр-22, 13:45	+1 +/–
Да, XKBD так хорош, что у нас до сих пор работа горячих клавиш зависит от текущей раскладки клавиатуры и от порядка в котором эти самые раскладки указаны в конфиге
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #43

43. Сообщение от Аноним (8), 21-Апр-22, 21:55	+/–
Так это к каждой отдельной программе вопросы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (8), 21-Апр-22, 22:05	+/–
Что пояснить? Ему 20+ лет, а баги до сих пор лезут, едва ли не больше чем с libinput, который сравнительно неплох (баги тоже бывают правда, не хотят исправлять наверно).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #45

45. Сообщение от Аноним (45), 21-Апр-22, 22:52	+/–
Я в генте использую evdev, багов не замечал. Какие конкретно баги у тебя были?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #48

46. Сообщение от Аноним (46), 22-Апр-22, 01:51	+1 +/–
Хрустомания в соседней новости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

47. Сообщение от Аноним (46), 22-Апр-22, 01:52	+1 +/–
Приличные дистры уже много лет как включают вообще-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #50

48. Сообщение от Аноним (8), 22-Апр-22, 10:31	+/–
Глюки мышки и что-то с хоткеями. Ещё с геймпадом из-за этого evdev постоянно сражаться приходится, и как только выкидываешь evdev, всё сразу работает. Какой ответ ты хочешь получить, учитывая, что я больше 10 лет его избегаю? У libinput тоже был баг с мышкой и задержка ввода. А вот kbd/mouse я не помню чтобы меня подводили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

49. Сообщение от Аноним (-), 22-Апр-22, 16:00	+/–
Настоящее решение собрать все данные в структуру, которую затем вывести одним printf'ом. То есть сначала собрать, а потом вывести, а не по мере получения данных дописывать строку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #53

50. Сообщение от Michael Shigorin (ok), 22-Апр-22, 21:24	+1 +/–
Вспомнилось: http://lists.altlinux.org/pipermail/devel/2010-June/182660.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

51. Сообщение от whoami (??), 24-Апр-22, 05:46	+/–
Отрицательно. Arch Linux, после логина ввожу startx (имеется предварительно сконфигуреный .xinitrc), все замечательно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

52. Сообщение от Аноним (5), 25-Апр-22, 03:09	+/–
тебе надо поменьше самому с собой разговаривать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

53. Сообщение от uis (ok), 27-Апр-22, 09:04	+/–
Сголасен, так лучше. Я это как пример приводил, а то ходят тут непорикаянные джависты^W растоманы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

54. Сообщение от uis (ok), 27-Апр-22, 09:07	+/–
Настоящие решения: 1) printf("%s", strintg) 2) fwrite(string, strlen(string), 1, stdout)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

55. Сообщение от Аноним (55), 28-Апр-22, 12:02	+/–
GDM стартует Xorg под пользователем, по-умолчанию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

56. Сообщение от Аноним (55), 28-Апр-22, 12:05	+/–
Можно usbguard'ом порезать устройства ввода выдающие себя за накопители.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема