The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

10.10.2013 10:54  В X.Org Server выявлена удалённая уязвимость, присутствующая с 1993 года

Разработчики проекта X.Org сообщили о выявлении уязвимости (CVE-2013-4396), которая может потенциально привести к выполнению кода злоумышленника, имеющего доступ к выводу через удалённый X-сервер. Проблема вызвана обращением к уже освобождённой области памяти (use-after-free) в коде функции "doImageText()" (dix/dixfonts.c) и может быть эксплуатирована через отправку аутентифицированным X-клиентом специально оформленного ImageText-запроса к X-серверу.

Исправление проблемы доступно в виде патча, который будет включён в состав выпусков X Sever 1.15.0 и 1.14.4. Примечательно, что проблема присутствовала в коде X-сервера с сентября 1993 года, начиная с выпуска X11R6.0.

  1. Главная ссылка к новости (http://lists.freedesktop.org/a...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: xorg, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.28, Наивный чукотский юноша, 13:39, 10/10/2013 [ответить] [смотреть все]
  • +3 +/
    >> "...potentially leading to crash and/or memory corruption."
    >> crash
    >> потенциально привести к выполнению кода злоумышленника

    да ладно?

     
     
  • 2.79, Аноним, 20:30, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Не там смотрите CVE-2013-4396 possibly execute arbitrary code ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.81, arisu, 20:35, 10/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    proof or GTFO ... весь текст скрыт [показать]
     
     
  • 4.89, Аноним, 21:57, 10/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Кэп, у тебя что, приступы тормозизма сегодня На те пруф https bugzilla redha... весь текст скрыт [показать]
     
     
  • 5.90, arisu, 22:01, 10/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    это ты опять не прочитал не вижу там пруфа на 171 исполнение произвольного ко... весь текст скрыт [показать]
     
     
  • 6.98, Аноним, 22:46, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    И правильно, ибо оптимизм в таких вопросах приводит к немеряным ботнетам А use ... весь текст скрыт [показать]
     
     
  • 7.111, arisu, 23:50, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    использование linux в принципе позволяет исполнить произвольный код есть предло... весь текст скрыт [показать]
     
     
  • 8.122, linux must _RIP_, 08:55, 11/10/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    а что не так? регулярно находят дыры в ядре которые существуют годами..
     
     
  • 9.126, Андроним, 11:04, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Во времена популярности, например, соляриса в ней тоже регулярно дыры находили ... весь текст скрыт [показать]
     
     
  • 10.128, Гость, 14:13, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    proof or GTFO ... весь текст скрыт [показать]
     
     
  • 11.131, Андроним, 16:03, 11/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    http www cvedetails com vendor 97 Openbsd html http www cvedetails com vendo... весь текст скрыт [показать]
     
  • 11.133, Аноним, 17:53, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Давайте вы лучше методом от противного докажите что у линукса код менее качеств... весь текст скрыт [показать]
     
  • 8.134, Аноним, 17:56, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Я как бы к тому что софт, особенно сетевой, апдейтить все-таки надо Иначе однаж... весь текст скрыт [показать]
     
  • 1.30, arisu, 13:48, 10/10/2013 [ответить] [смотреть все]  
  • +4 +/
    p.s. мелочь, на самом деле. в комментарии к патчу верно написано:
    > Since the memory is accessed almost immediately afterwards, and the
    > X server is mostly single threaded, the odds of the free memory having
    > invalid contents are low with most malloc implementations when not using
    > memory debugging features, but some allocators will definitely overwrite
    > the memory there, leading to a likely crash.
     
     
  • 2.76, Аноним, 20:19, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Нужно не комментарии к патчу смотреть, а анализ возможности эксплуатации В Secu... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.77, arisu, 20:29, 10/10/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    нужно мозг в голове иметь это не анализ, это херня на палке я предпочитаю не г... весь текст скрыт [показать]
     
     
  • 4.95, Аноним, 22:26, 10/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Use after free там Через такое обычно удается выполнить код Нет-нет, писать сп... весь текст скрыт [показать]
     
     
  • 5.106, arisu, 23:44, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    орли круто а как ... весь текст скрыт [показать]
     
     
  • 6.129, Гость, 14:14, 11/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы задаете сразу два вопроса Ему одному ответить сложно ... весь текст скрыт [показать]
     
  • 3.78, arisu, 20:30, 10/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    p s господа говноиксперты же пусть продемонстрируют 171 execution of arbitrar... весь текст скрыт [показать]
     
     
  • 4.101, Аноним, 22:57, 10/10/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Напоминает логику дарвиниста который гранату распилил Видимо тоже не верил что ... весь текст скрыт [показать]
     
     
  • 5.107, arisu, 23:45, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    а вот ты напоминаешь человека, который не ел вишни, потому что можно подавиться ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (8)

  • 1.33, Аноним, 14:31, 10/10/2013 [ответить] [смотреть все]  
  • –1 +/
    С "-nolisten tcp" работает?
     
  • 1.36, 3draven, 14:59, 10/10/2013 [ответить] [смотреть все]  
  • –3 +/
    Не знаю как с уязвимостями, но SWT от Eclips-a, совмещенный с javafx, иксы роняе... весь текст скрыт [показать]
     
     
  • 2.40, бедный буратино, 15:01, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Директор берёт папку личных дел, отбирает ровно половину и говорит - Вот этих -... весь текст скрыт [показать] [показать ветку]
     
  • 2.46, Аноним, 16:42, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    https://bugs.freedesktop.org/enter_bug.cgi
     
     
  • 3.47, 3draven, 16:46, 10/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Парвая адекватная мысль Ща накатаю, хотя я уже и в оракл отправил и в эклипс ... весь текст скрыт [показать]
     
     
  • 4.53, 3draven, 16:59, 10/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    https://bugs.freedesktop.org/show_bug.cgi?id=70342
     
     
  • 5.54, 3draven, 17:17, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Написали мне, что в 2 99 904 версии драйвера intel пофиксили это О ентот драйве... весь текст скрыт [показать]
     
     
  • 6.55, 3draven, 17:18, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Причем этот драйвер собрали то в ланчпаде 20 часов назад.
     
  • 6.57, angra, 17:33, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Вот интересно, а умные джаверы они в природе вообще встречаются Если уж ты не ... весь текст скрыт [показать]
     
     
  • 7.59, 3draven, 17:37, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    С установкой руками давно набаловался. Времени у меня нет ерундой страдать.
     
     
  • 8.61, arisu, 17:39, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    8212 э, мужик, ты чего лопатой-то, вон экскаватор рядом стоит 8212 иди на... весь текст скрыт [показать]
     
     
  • 9.63, 3draven, 17:43, 10/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Обновления дров с репов, со всеми фиксами заливаются мне в дистр сами, без шаман... весь текст скрыт [показать]
     
     
  • 10.64, arisu, 17:49, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    да я понимаю, что для тебе пересборка 8212 дикое шаманство в игры-то играл, ... весь текст скрыт [показать]
     
     
  • 11.66, 3draven, 17:50, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Балбес, играми я называю пересборку Но, ладно, мне дальше скучно Покедова М... весь текст скрыт [показать]
     
     
  • 12.67, arisu, 17:52, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    зачем так, как ты сам себя тут обгадил, я бы всё равно не смог ... весь текст скрыт [показать]
     
     
  • 13.88, Аноним, 21:55, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    При том чуваку надо то было - нагуглить oibaf PPA и заапдейтить драйвер под инте... весь текст скрыт [показать]
     
     
  • 14.91, arisu, 22:03, 10/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    ему некогда, он работу работает ... весь текст скрыт [показать]
     
  • 14.92, 3draven, 22:13, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Драйвер не помог jvm падала и падает из за внешнего кода Но, какое то время не... весь текст скрыт [показать]
     
     
  • 15.93, 3draven, 22:16, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Там проблема в в разделении потоков между swt javafx xorg, каким то образом разд... весь текст скрыт [показать]
     
     
  • 16.97, Аноним, 22:42, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Вам вроде доступно написали что уже поправлено в интеловском DDX драйвере которы... весь текст скрыт [показать]
     
  • 16.102, Аноним, 23:01, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Жабисты они такие - нахватались умных слов и лезут делать глобальные выводы Ниф... весь текст скрыт [показать]
     
  • 15.96, Аноним, 22:38, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    А вот это - уже к ораклу Но иксы тут уже не при чем Мухи - отдельно, котлеты -... весь текст скрыт [показать]
     
  • 14.94, 3draven, 22:21, 10/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Много вас тут таких, профессионалов с языком до колена и кислотой в мозгах Мн... весь текст скрыт [показать]
     
     
  • 15.100, Аноним, 22:54, 10/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Это не является поводом не задействовать головной мозг в процессе своей деятельн... весь текст скрыт [показать]
     
     
  • 16.104, 3draven, 23:10, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Я и багу закатал правильным людям и про проблему сразу в логах было видно, для э... весь текст скрыт [показать]
     
     
  • 17.105, 3draven, 23:13, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Комплексов неполноценности по поводу своей умности я не имею, можете туда не дав... весь текст скрыт [показать]
     
  • 10.65, arisu, 17:50, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    кстати, личным опытом за более чем десять лет проверено если человек говорит ... весь текст скрыт [показать]
     
     
  • 11.75, Аноним, 20:13, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    пишешь баш портянки с неполных 4-х лет Одни иллюминаты и рептилоиды вокруг, про... весь текст скрыт [показать]
     
     
  • 12.80, arisu, 20:31, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    прими разупорина, пожалуйста.
     
  • 8.62, arisu, 17:41, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    да, кстати как раз ерундой страдать у тебя времени хоть отбавляй слушай, а пил... весь текст скрыт [показать]
     
  • 8.110, Михрютка, 23:49, 10/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Мне маны читать некогда, я программист с классика, проверенная временем ... весь текст скрыт [показать]
     
     
  • 9.112, arisu, 23:52, 10/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    угу причём у него падает, на забег по граблям у него время есть, а на то, чтобы... весь текст скрыт [показать]
     
     
  • 10.113, Михрютка, 00:06, 11/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    не сыпь мне соль на сахар в одном маленьком, но гордом энтерпрайзе джавакодеры ... весь текст скрыт [показать]
     
     
  • 11.114, arisu, 00:12, 11/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    и что, помогло? или больше никого поймать не смог?
     
     
  • 12.115, Михрютка, 00:27, 11/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    нифига не помогло на следующее полугодие жабисты купили себе как бы еще девелоп... весь текст скрыт [показать]
     
  • 11.116, Андроним, 01:15, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Что-то байки какие-то из разряда: так и врезал ему Митрич.
     
     
  • 12.117, arisu, 01:16, 11/10/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    ты или сам жабокодер, или никогда с жабокодерами не работал в первом случае 8... весь текст скрыт [показать]
     
     
  • 13.118, Андроним, 01:31, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    На жабе кодил для прикола, интeресно было поиграться с серверами приложений Прос... весь текст скрыт [показать]
     
     
  • 14.119, arisu, 01:34, 11/10/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    если мир когда-нибудь решит, что ты должен действительно узнать, что такое СТРАД... весь текст скрыт [показать]
     
  • 8.121, angra, 03:44, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Не понимаешь разницы между умом и знаниями Не комплексуй, подавляющее большинст... весь текст скрыт [показать]
     
  • 7.82, Андроним, 21:07, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    g sol uname -r 2 6 32-358 18 1 el6 x86_64 g sol optirun glxinfo 124 ... весь текст скрыт [показать]
     
  • 6.74, Wormik, 19:38, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Вот тебе ссылки всего что необходимо скомпилировать из исходного кода https 0... весь текст скрыт [показать]
     
     
  • 7.85, Аноним, 21:49, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Правильно Если что-то где-то упало - вменяемый бэктрейс нам совершенно ни к чем... весь текст скрыт [показать]
     
     
  • 8.87, arisu, 21:54, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    они всё равно ничего дебажить не будут, какая разница.
     
  • 6.86, Аноним, 21:52, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Oibaf PPA подключи, елки Там свежак Всему учить надо, блин ... весь текст скрыт [показать]
     
     
  • 7.123, linux must _RIP_, 09:03, 11/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    а что вас удивляет вас не учили раньше вы родились сразу с знанием linux, PPA ... весь текст скрыт [показать]
     
     
  • 8.132, kurokaze, 16:52, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    не копмплексуй
     
  • 4.83, Аноним, 21:38, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Спасибо что хоть не в спортлото А то падают иксы, а виноват оказывается оракл и... весь текст скрыт [показать]
     
  • 2.43, 3draven, 15:02, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    https://bugs.eclipse.org/bugs/show_bug.cgi?id=418774
     
     
  • 3.84, Аноним, 21:46, 10/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Дяденька, как бы вам помягче объяснить что вы не очень умный, а Если падает дис... весь текст скрыт [показать]
     
     
  • 4.124, linux must _RIP_, 09:04, 11/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    ой сколько апломба Нибм не жмет вы считаете что любой кто пользуется linux об... весь текст скрыт [показать]
     
     
  • 5.130, Аноним, 15:21, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Да-да настоящему жаба программисту не подобает иметь даже самые минимальные знан... весь текст скрыт [показать]
     
  • 2.135, Аноним, 17:57, 11/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    При том багу в интеловском DDX уже починили ... весь текст скрыт [показать] [показать ветку]
     
  • 1.42, jOKer, 15:02, 10/10/2013 [ответить] [смотреть все]  
  • +/
    Я так понимаю, что это новая байка о неуловимом Баге, исправление которого было нафиг никому не нужно?
     
     
  • 2.44, arisu, 15:13, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    нет просто обычный баг настолько редко проявляющийся, что никто до этих пор не... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.99, anonim, 22:48, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    а падают они часто при хорошей нагрузке на ПК.
     
     
  • 4.103, Аноним, 23:02, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Вот это совсем не обязательно Я например уже забыл когда я крах иксов видел Ко... весь текст скрыт [показать]
     
  • 4.109, arisu, 23:48, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    > а падают они часто при хорошей нагрузке на ПК.

    proof or GTFO.

     
  • 4.120, pavlinux, 03:42, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Это куйня, у меня сразу проц выключается Вот такое аццкооптимизированное ядрищо... весь текст скрыт [показать]
     
     
  • 5.136, Аноним, 17:57, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    И запускается программная эмуляция проца, да ... весь текст скрыт [показать]
     
  • 3.108, Михрютка, 23:45, 10/10/2013 [^] [ответить] [смотреть все]  
  • +/
    а поговорить с ... весь текст скрыт [показать]
     
  • 3.125, makky, 10:25, 11/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Дай ты им покричать про мир и валенд. ))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor