OpenForum RSS: Выпуск X.Org Server 1.20.3 с устранением локальной root-уязв... https://www.opennet.ru/openforum/vsluhforumID3/115660.html Опубликован (https://www.mail-archive.com/xorg-announce@lists.x.org/msg01139.html) релиз X.Org Server 1.20.3, в котором устранена опасная <br>уязвимость (https://www.mail-archive.com/xorg-announce@lists.x.org/msg01138.html) (CVE-2018-14665 (https://security-tracker.debian.org/tracker/CVE-2018-14665)), позволяющая повысить свои привилегии или перезаписать любой файл в системе. Проблема проявляется только при запуске X-сервера в режиме запуска с повышенными привилегиями (когда исполняемый файл x-сервера поставляется с установленным битом setuid root и любой непривилегированный пользователь может запустить x-сервер).<br><br><br>Суть уязвимости в том, что при запуске X-сервера пользователь может <br>поменять путь к модулям при помощи опции "-modulepath" и добиться загрузки своего модуля, который будет запущен на этапе до сброса привилегий с правами root. Второй вариант атаки связан с использованием опции "-logfile", при помощи которой локальный злоумышленник может направить вывод лога в любой файл в системе. Например, можно Выпуск X.Org Server 1.20.3 с устранением локальной root-уязв... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/115660.html#103 Fri, 02 Nov 2018 04:57:27 GMT &gt;Все проще: в иксах, код за многие годы уже и не нужно трогать<br><br>Пофиксил тебя<br> Выпуск X.Org Server 1.20.3 с устранением локальной root-уязв... (Анонимный Алкоголик) https://www.opennet.ru/openforum/vsluhforumID3/115660.html#102 Wed, 31 Oct 2018 05:40:14 GMT &gt;&gt; Например, можно указать в качестве аргумента "-logfile" файл /etc/shadow и переписать его содержимое, <br>&gt; Но позвольте, SELinux же не должен дать Xorg возможности перезаписать файл в <br>&gt; домене etc!<br><br>Не понятно почему там должно быть setuid root.<br>(хотя конечно бывает. почему-то...).<br>в общем "исправление" имеет озабочивающие признаки ненужности.<br> Выпуск X.Org Server 1.20.3 с устранением локальной root-уязв... (Анонимчик) https://www.opennet.ru/openforum/vsluhforumID3/115660.html#101 Sun, 28 Oct 2018 16:45:42 GMT ls -la /usr/bin/Xorg <br>-rws--x--x<br>Я круче всех .)<br> Выпуск X.Org Server 1.20.3 с устранением локальной root-уязв... (КГБ СССР) https://www.opennet.ru/openforum/vsluhforumID3/115660.html#100 Sun, 28 Oct 2018 10:49:38 GMT Мне-то не надо никакое GNOME, вполне бы хватило IceWM, WindowMaker или, внезапно, CDE, да даже и twm терпим, если прижмёт. Но оракулям виднее: мы говорим &#171;Ленин&#187;^W solaris-desktop подразумеваем &#171;партия&#187;^W GNOME. Причём с &#171;Required Solaris Patches&#187;. Неужто было сложнее пару тех своих патчей приклеить к IceWM?<br> Выпуск X.Org Server 1.20.3 с устранением локальной root-уязв... (КГБ СССР) https://www.opennet.ru/openforum/vsluhforumID3/115660.html#99 Sun, 28 Oct 2018 10:39:27 GMT Альт появился уже после прихода Х-ла к власти и основания ПЖиВ (en.wikipedia.org/wiki/ALT_Linux).<br><br>Наверняка Шигорин сотрёт этот коммент. :)<br> Выпуск X.Org Server 1.20.3 с устранением локальной root-уязв... (пох) https://www.opennet.ru/openforum/vsluhforumID3/115660.html#98 Sun, 28 Oct 2018 09:35:40 GMT &gt; Как же все-таки _грамотно_ перезагрузить XServer без полного ребута?<br><br>а смысл? Со времен впихивания в ядро ненужно-kms перезагружать xserver стало незачем.<br> Выпуск X.Org Server 1.20.3 с устранением локальной root-уязв... (пох) https://www.opennet.ru/openforum/vsluhforumID3/115660.html#97 Sun, 28 Oct 2018 09:33:16 GMT &gt; И кто иксы вообще кодить будет тогда? Желающих соваться в этот здец <br>&gt; осталось полтора человека.<br><br>у вас ядерный реактор работает, как-то, последние лет тридцать, аварийные лампочки не горят, отработанные сборки заменяете по регламенту. И тут вдруг прибегает мальчик со сварочным аппаратом -- "а давайте я вам тут что-нибудь поулучаю - других-то желающих нет"! И шеф такой, по головке его гладит (по всем трем) - давай, малыш, все равно уже всем.<br><br>ну значит не надо туда соваться - "все ушли в вафлянд", "линукс ваш новый стандарт". А этот проект умрет, так ж как XFree86.<br><br> Выпуск X.Org Server 1.20.3 с устранением локальной root-уязв... (пох) https://www.opennet.ru/openforum/vsluhforumID3/115660.html#96 Sun, 28 Oct 2018 09:27:59 GMT &gt; Опыт - дело наживное и дорогое, с ним никто не рождается .... <br><br>да, но в нормальных проектах неопытным джунам делать нечего - для них есть петпрожекты и гуглосаммер, если человеку доверено принимать патчи в то, что используют миллионы - он должен был пройти, наверное, хоть какой-то отбор и уже что-то уметь?<br><br>&gt;&gt;&gt;Он a) полез в код, который в его деятельности не нуждался вовсе b) кода не понял c) сломал то, <br>&gt;&gt;&gt;что до него работало.<br>&gt; Пожалуйста расскажите мне откуда такая информация ? Мне лично очень любопытно =) <br><br>открываете по ссылке к новости коммит и наслаждаетесь.<br><br> Выпуск X.Org Server 1.20.3 с устранением локальной root-уязв... (Zenitur) https://www.opennet.ru/openforum/vsluhforumID3/115660.html#95 Sun, 28 Oct 2018 08:16:30 GMT &gt; Они так хотят казаться настоящим дистрибутивом<br><br>Он был настоящим дистрибутивом задолго до появления быстрого интернета, Убунты, Путина у власти, и партии Единая Россия. В начале 00-х во всём мире были популярны национальные дистрибутивы. Во Франции - Mandrake, в Германии - SUSE, в Бразилии - Kurumin, в России - Alt и ASP. В своих странах, каждый национальный дистрибутив был едва ли не популярнее Red Hat-а, и был с ним совместим (RPM-ки прекрасно "ставились" в них)<br>