The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление X.Org Server 1.20.11 с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от opennews (??), 14-Апр-21, 10:35 
Опубликован релиз X.Org Server 1.20.11, в котором устранена уязвимость (CVE-2021-3472), позволяющая повысить свои привилегии в системах, в которых X-сервер выполняется с правами root. Проблема вызвана ошибкой в расширении  XInput, приводящей к изменению содержимого области памяти вне выделенного буфера при обработке запросов ChangeFeedbackControl со специально оформленными входными данными. Аналогичная проблема также устранена в компоненте xwayland 21.1.1...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54964

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –5 +/
Сообщение от Аноним (1), 14-Апр-21, 10:35 
> в которых X-сервер выполняется с правами root

Зачем?

Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +3 +/
Сообщение от timur.davletshin (ok), 14-Апр-21, 10:50 
Nvidia
Ответить | Правка | Наверх | Cообщить модератору

8. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –1 +/
Сообщение от Аноним (1), 14-Апр-21, 11:43 
Что nvidia? Как невидия заставляет запускать иксы под рутом? А код, который необходимо пускать под рутом, точно нельзя вынести в отдельный сервис, который бы абстрагировал работу с железками и имел бы нужные привелегии?
Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Аноним (9), 14-Апр-21, 11:53 
> Что nvidia?

Подозреваю очередной троллинг по поводу блоба. Который, впрочем, без проблем работает с иксами, запущенными под непривилегированным пользователем.

Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +1 +/
Сообщение от timur.davletshin (ok), 14-Апр-21, 12:17 
>> Что nvidia?
> Подозреваю очередной троллинг по поводу блоба. Который, впрочем, без проблем работает с
> иксами, запущенными под непривилегированным пользователем.

В текущем штабле от дебиан невидия работает с рутовыми правами как и многие годы до этого.

Ответить | Правка | Наверх | Cообщить модератору

22. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –1 +/
Сообщение от Аноним (22), 14-Апр-21, 13:51 
В текущем олдстабле работает без рута
Ответить | Правка | Наверх | Cообщить модератору

40. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от timur.davletshin (ok), 14-Апр-21, 22:05 
А это уже от карты зависит. Вот интел у меня тоже сто лет без рута.
Ответить | Правка | Наверх | Cообщить модератору

24. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +1 +/
Сообщение от Анонимленьлогиниться (?), 14-Апр-21, 14:09 
Так это проблема чисто дебиана а не нвидии.

Возьмите ту же федору, уже 6 или 7 лет иксы из под пользователя. И почти все остальные дистрибутивы последовали. И почему-то нивидия там не мешает...

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

41. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +2 +/
Сообщение от timur.davletshin (ok), 14-Апр-21, 22:06 
> Так это проблема чисто дебиана а не нвидии.
> Возьмите ту же федору, уже 6 или 7 лет иксы из под
> пользователя. И почти все остальные дистрибутивы последовали. И почему-то нивидия там
> не мешает...

Дело в драйвере, а не в дистрибутиве. Со свободным драйвером всё из-под усера.

Ответить | Правка | Наверх | Cообщить модератору

42. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –3 +/
Сообщение от Аноним (42), 14-Апр-21, 22:33 
Для тугих: в нормальных дистрибутивах нвидия с проприетарным драйвером нормально работает безо всяких рутов.
Ответить | Правка | Наверх | Cообщить модератору

47. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –1 +/
Сообщение от timur.davletshin (ok), 15-Апр-21, 11:30 
> Для тугих: в нормальных дистрибутивах нвидия с проприетарным драйвером нормально работает
> безо всяких рутов.

Для сильно умных повторяю, что это не так. Ни в федоре, ни в дебиане, ни в бубунте.

Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Аноним (10), 14-Апр-21, 11:54 
О чём речь, если Невидия пихает блоб в ядро?
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Аноним (1), 14-Апр-21, 11:58 
Ну пихает, что дальше? Зачем чему-то, рисующему окошки и получающему ввод иметь права рута?
Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Аноним (10), 14-Апр-21, 12:01 
Это про вынос в отдельный сервис. Особого смысла нет, если бекдор в ядре.
Ответить | Правка | Наверх | Cообщить модератору

15. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +3 +/
Сообщение от Аноним (1), 14-Апр-21, 12:04 
То есть ты делаешь бекдоры в иксах, позволяющие поднять привилегии, потому что они могут быть в ядре?
Ответить | Правка | Наверх | Cообщить модератору

25. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +1 +/
Сообщение от Анонимленьлогиниться (?), 14-Апр-21, 14:11 
Какое отношение мифический бэкдор в ядре имеет отношение к реальной и эксплуатируемой узявимости в иксах?

Вы не различаете kernel mode и user mode (пусть и привелигированый формально в рута, но с точки зрения процессора - непривелигированный)? Почитайте про кольца процессора и прочее для начала. Где код в ядре, а где код в приложении типа иксов, ага.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

5. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +1 +/
Сообщение от Аноним (5), 14-Апр-21, 10:54 
single user mode
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

7. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Аноним (1), 14-Апр-21, 11:41 
Что single user mode? Каким образом он мешает запускать иксы под отдельным пользователем-нерутом?
Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –2 +/
Сообщение от Аноним (20), 14-Апр-21, 13:29 
потому что многие неразумные просто не способны нормально сконфигурировать права на /dev/dri/card*, и поэтому зачастую Х-сервер идет со взведенным suid битом
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

44. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от pda (ok), 15-Апр-21, 00:57 
Ну, кто-то за 10 лет kernel mode setting не осилил.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –1 +/
Сообщение от Аноним (2), 14-Апр-21, 10:36 
Сломали совместимость с i386 - все, уязвимостей нет
Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +3 +/
Сообщение от Zenitur (ok), 14-Апр-21, 10:47 
Там для macOS. Там в самой операционке убрали поддержку i386.
Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –2 +/
Сообщение от iPony129412 (?), 14-Апр-21, 11:07 
ANNOUNCE: meson.build, xquartz, xquartz, xquartz, xquartz, xquartz, xquartz, xquartz

Будущее наступило. Иксы уже можно сказать на свалке.

Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +2 +/
Сообщение от Аноним (10), 14-Апр-21, 11:59 
Не забудь при этом подпрыгивать и хлопать себя по голове ;)
Какое отношение XQuartz имеет к GNU/Linux?
Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –4 +/
Сообщение от Аноним (17), 14-Апр-21, 12:21 
К тому, что большинство так называемых апологетов GNU/Linux предпочитают работать на Apple/MacOS...
Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от px (??), 14-Апр-21, 18:37 
Пруф есть?
Ответить | Правка | Наверх | Cообщить модератору

35. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +2 +/
Сообщение от Аноним (-), 14-Апр-21, 21:50 
Из чувака с ником iPony довольно странный "апологет Linux" by design, не находите? :)
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

48. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +1 +/
Сообщение от Аноним (-), 15-Апр-21, 11:38 
> Из чувака с ником iPony довольно странный "апологет Linux" by design, не находите? :)

И то ли дело iZemlin или iRobbins ну или там какой-нибудь ментейнер дебиана типа jmtd@debian.org :)

Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –2 +/
Сообщение от iPony129412 (?), 14-Апр-21, 13:54 
> Какое отношение XQuartz имеет к GNU/Linux?

так в этом и суть. Казалось бы должен открывать изменения по иксам, а там должно быть линуксы на линуксах.
А уже никому оно не надо.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

18. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +4 +/
Сообщение от AlexYeCu_not_logged (?), 14-Апр-21, 12:28 
>xquartz, xquartz, xquartz, xquartz, xquartz, xquartz, xquartz

Поня,там вообще-то ВЫКИНУЛИ часть кода, имеющего отношение к xquartz.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

26. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –2 +/
Сообщение от iPony129412 (?), 14-Апр-21, 14:14 
> Поня,там вообще-то ВЫКИНУЛИ часть кода, имеющего отношение к xquartz.

Я в курсе.

Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +4 +/
Сообщение от acroobat (ok), 14-Апр-21, 12:00 
Хороший проект, давно пользуюсь.
Ответить | Правка | Наверх | Cообщить модератору

27. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –4 +/
Сообщение от Lex (??), 14-Апр-21, 15:14 
> релиз X.Org Server 1.20.11, в котором устранена уязвимость

Выфсеврети!! Иксы святые!!11 не то, что вяленныхй

Ответить | Правка | Наверх | Cообщить модератору

28. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –1 +/
Сообщение от Аноним (28), 14-Апр-21, 17:08 
Что за истерика? Везде есть ошибки, а из ошибок проистекают уязвимости. Поэтому и вошёл в моду фаззинг.
Ответить | Правка | Наверх | Cообщить модератору

36. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –1 +/
Сообщение от Аноним (-), 14-Апр-21, 21:55 
Иксы нынче довольно мало кто хочет палочкой тыкать. Код там жутковатый, майнтайнить это мало кто хочет и тем более может, а у полутора землекопов которые так все же могут прорва другой работы по части графики. Вот иксы и выпали из фавора. Де факто пациент последних лет 10+ в коме, на аппарате искусственного жизнеобеспечения. Сам он уже давно не дышит. И кстати питалово этому аппарату обеспечивает шляпа, да еще Пакард иногда по старой памяти. И они таки за 10 лет подзадолбались, питание уже минимальное, лишь бы не сдох совсем пока замену пилят.

И дае, если всерьез фаззить иксы, там наверное будет полный пэ. Это древний код, писаный под совсем другие реалии. В тех реалиях вообще не было security in mind.

Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Annoynymous (ok), 14-Апр-21, 17:24 
> Аналогичная проблема также устранена в компоненте xwayland 21.1.1.

Это, конечно, не значит, что ошибку не надо исправлять, но xwayland никогда не запускается с правами рута.

Ответить | Правка | Наверх | Cообщить модератору

49. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от adolfus (ok), 16-Апр-21, 15:12 
Он также не умеет работать в сетевой среде. Медленный и тяжелый.
Ответить | Правка | Наверх | Cообщить модератору

53. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Annoynymous (ok), 18-Апр-21, 10:46 
> Он также не умеет работать в сетевой среде. Медленный и тяжелый.

Он сделан специально, чтобы работать в сетевой среде. Ты несёшь какую-то чушь.

Медленный и тяжёлый - да, согласен. Wayland как раз и начали делать, чтобы облегчить. На малинке, например, сеанс Wayland сильно быстрее ворочается.

Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –1 +/
Сообщение от Аноним (30), 14-Апр-21, 17:56 
А всё–таки ИН МАЙ ХУМБЛ ПУМБЛ ОПИНИОН Arcan приятнее иксов и вяленых
Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Аноним (33), 14-Апр-21, 21:12 
это для блохи который?
Ответить | Правка | Наверх | Cообщить модератору

39. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Аноним (-), 14-Апр-21, 22:00 
Вы вообще о чем? Что еще за блохи с лассо?
Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +1 +/
Сообщение от Wilem82 (ok), 14-Апр-21, 18:01 
Не нашёл ни одного комментария про дырявость сей, на которых просто надо уметь писать, поэтому вот.
Ответить | Правка | Наверх | Cообщить модератору

38. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –1 +/
Сообщение от Аноним (-), 14-Апр-21, 21:59 
Хотите переписать иксы со всеми прибабахами на хрусте? Дерзайте, смотрите чтобы пупок не развязался :). Оно видите ли без 9000 костылей и расширений даром никому не вперлось, и кодили это дофейхоа лет. Не особо документируя, так что...
Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Аноним (-), 14-Апр-21, 21:14 
Искусственное дыхание трупу. Качение трупа по полу.

А меж тем, сегодня де-факто релиз Fedora 34 с KDE на Wayland. Среди обновлений нарисовался fedora-release-common.noarch v. 34.

Ответить | Правка | Наверх | Cообщить модератору

37. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Аноним (-), 14-Апр-21, 21:57 
Не искусственное дыхание, а новая партия аккумуляторов для UPS'а аппарату жизнеобеспечения, между прочим.
Ответить | Правка | Наверх | Cообщить модератору

45. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от qux (ok), 15-Апр-21, 03:43 
Там такой релиз... В багзилле спрашивают, почему фича не заблокирована существующими проблемами, но ответственные даже в common bugs ничего не занесли. Нуок.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

46. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  –1 +/
Сообщение от Аноним (-), 15-Апр-21, 07:11 
Ну, как тебе сказать, мой анонимный дружок. Аналогия с трупом не совсем корректна. XOrg, скорее, пожилой уважаемый человек, готовящийся уйти на пенсию, где будет тихо доживать свой век.

В доказательство тебе ссылка Большую Советскую Энциклопедию: https://linux-hardware.org/?view=os_display_server  Правда, тенденция очевидна: ещё месяц назад Wayland был 5%, а год назад 0,5% Такие дела.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

52. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Аноним (52), 18-Апр-21, 05:04 
Ага, ага давай расскажи... через XWayland все работает, то есть по сути через иксы, а фишечки и рюшечки вейлянд чет не особо кому то нужны
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

50. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от анончик (?), 17-Апр-21, 01:49 
> прекращена поддержка версий macOS 10.3 "Panther", 10.4 "Tiger", 10.5 "Leopard", 10.6 "Snow Leopard", 10.7 "Lion" и 10.8 "Mountain Lion".

щедро. сам apple 10.8 уже шесть лет как не поддерживает, сейчас supported только 10.14 и выше.

Ответить | Правка | Наверх | Cообщить модератору

51. "Обновление X.Org Server 1.20.11 с устранением уязвимости"  +/
Сообщение от Аноним (52), 18-Апр-21, 05:02 
Пока вяленый обзаведется хоть сколько нибудь нативной поддержкой, к тому времени он уже устареет и все вернуться обратно на иксы
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Ideco
A-Real
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру