The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в библиотеке Pango

11.05.2009 23:17

В библиотеке Pango, как правило используемой совместно с GTK+ для формирования вывода текста, найдена критическая уязвимость, позволяющая злоумышленнику выполнить свой код в системе при попытке рендеринга текста со специально скомпонованным набором глифов. Проблема вызвана целочисленным переполнением при расчете размера памяти, выделяемой для хранения глифов. Ошибка устранена в версии Pango 1.24, выпущенной 16 марта (по договоренности с обнаружившим уязвимость, некоторое время о проблеме не сообщалось, чтобы выиграть время на широкое распространения исправленной версии).

Уязвимость усугубляется тем, что ее можно применить для широкого круга использующих Pango приложений, например, подтверждена возможность удаленной атаки на Firefox, приводящей к отказу в обслуживании при посещении определенным образом оформленной страницы. Посмотреть список связанные с библиотекой Pango программ в Ubuntu Linux можно командой "apt-cache rdepends libpango1.0-0". Например, Pango используют программы GNOME, XFCE, mplayer, abiword, synaptic, sane, pidgin, gimp и т.д.

  1. Главная ссылка к новости (http://secunia.com/advisories/...)
  2. OpenNews: Демонстрация степени преуменьшения опасности уязвимостей в Linux ядре
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/21690-Pango
Ключевые слова: Pango, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонима (?), 00:47, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии

    Думаю, это начало конца.
    Подобное же: http://seclists.org/fulldisclosure/2009/Apr/0080.html
    Linux 2009 == Microsoft 2002

     
     
  • 2.4, PereresusNeVlezaetBuggy (ok), 01:36, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии
    >
    >Думаю, это начало конца.
    >Подобное же: http://seclists.org/fulldisclosure/2009/Apr/0080.html
    >Linux 2009 == Microsoft 2002

    Linux не Linux, но отвратительная тенденция налицо :(

     
  • 2.5, pavlinux (ok), 01:48, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А ты неюзай вражеские FS, проснулся... 2.6.29.3 уж на дворе :
     
     
  • 3.7, Анонима (?), 02:12, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    смысл не в патчинге (что само по себе хорошо - некоторые даже не патчат годами), а в том, чтобы рассказать сообществу, что данная ошибка опасна.
     
     
  • 4.12, pavlinux (ok), 04:22, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Любая ошибка опасная. Была такая давно, перепутали местами ассемблерные инструкции CLI и STI
    Не помню точно что было, то ли два раза разрешили прерывания, то ли два раза запретили...
    Вроде отметили как НЕ влияющая на безопасность, но вполне приводящая к зависону.

    Так вот, время на объяснение как всё это работает ни у кого нет,
    время на генерацию руткитов - тоже. Вариантов руткитов можно придумать массу, относительно
    cli/sti-bug, например в спаять вражеское PCI устройство, и выполнять свои действия в не защищенной памяти ядра.

    И что по-вашему, они обязаны все это рассказывать, как работает, как можно хакнуть...
    Обнаружили-пофиксили-отписались

    Тоже была одна бага, по моему на 2.6.20, после разархивирования ядра, каталоги и файлы в них были с правами 660 - как говориться, залезай, исправляй, бэкдоры засажывай...

    Кто должен следить за правами на Вашем компе??? Торвальдс чтоля?  
    Ему ваще пофиг - сделал бы 777 и делайте сами как надо.

     
     
  • 5.22, szh (ok), 10:03, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Обнаружили-пофиксили-отписались

    Не отписались.

    > Так вот, время на объяснение как всё это работает ни у кого нет,

    никто не просил обьяснений как это всё работает.

    > время на генерацию руткитов - тоже.

    Всегда есть время у тех кому это надо.

    Весь остальной твой текст - оффтопик эмоций.

     
  • 3.15, User294 (??), 07:26, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А ты неюзай вражеские FS, проснулся... 2.6.29.3 уж на дворе :

    А как FS и какие-то там ядра вообще относятся к панге?Панга - кроссплатформенная либа, которая есть в куче всяких мест и без всяких линуксовых ядер.

     
  • 2.13, User294 (??), 07:21, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Думаю, это начало конца.

    Это что, просьба проспонсировать веревку и мыло? oO

    > Linux 2009 == Microsoft 2002

    А при чем тут линукс? Эта либа используется в огромной куче систем. В *вашей* скорее всего она тоже есть. Хотя если вы только в консольке сидите - тогда может и нет за ненадобностью. А так - используется кучей программ в разных системах. К линуксу эта либа привязана не более чем например zlib.

     

  • 1.3, кдпзу (?), 01:22, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    //некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии

    спасибо, это нам уже знакомо

     
     
  • 2.16, User294 (??), 07:29, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >спасибо, это нам уже знакомо

    Ну вы можете поставить себе например антикварный zlib а мы вас сплойтом жахнем.Не хотите?И кстати куда предлагаете бежать?Обратно на проприетарщину?Или сидеть в MS-DOS?А то это панго используется такой кучей программ что найти систему с гуем где оно бы не использовалось - еще постараться надо.

     
     
  • 3.20, Аноним (-), 08:41, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > А то это панго используется такой кучей программ

    Не так уж и много таких программ.

     
     
  • 4.33, User294 (??), 22:05, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Не так уж и много таких программ.

    Хаксорам в принципе хватит одной.Уже забыли что было с zlib?Я знаю немало случаев взлома [чего угодно] на разных системах через дырявый zlib.Особенно "здорово" было ессно виндузятникам где все проги таскают с собой zlib'у  самолично а потому никто ее в половине софта ессно не заапдейтил, так что наверное и по сей день в виндах можно кучу софта с древней злибой сплойтом отоварить если задаться целью.

     
  • 2.21, uldus (ok), 08:56, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >//некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения
    >исправленной версии
    >
    >спасибо, это нам уже знакомо

    Не путайте с ситуацией, когда о дыре уже давно раструбили в неофициальных рассылках безопасности, но разработчики дырявой программы ее скрывают или представляют как незначительную, или когда нашедший дыру натыкается на высокомерие и игнорирование со стороны разработчиков. В случае с Pango о проблеме не знал никто посторонний, только тот кто нашел дыру и разработчики библиотеки.

     
     
  • 3.36, AlexanderYT (?), 13:38, 13/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > В случае с Pango о проблеме не знал никто
    >посторонний, только тот кто нашел дыру и разработчики библиотеки.

    свечку держали?)

     
     
  • 4.38, uldus (ok), 14:08, 13/05/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> В случае с Pango о проблеме не знал никто
    >>посторонний, только тот кто нашел дыру и разработчики библиотеки.
    >
    >свечку держали?)

    Вы не верите слову Will Drewry из Google Security Team ?

     
     
  • 5.39, AlexanderYT (?), 10:21, 14/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Я словам не верю. Только фактам.
     

  • 1.8, Аноним (-), 02:36, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я вот такой наивный, но кто мне может объяснить, почему нельзя говорить об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец в области безопасности, ты эту уязвимость найдёшь, в противном случаи - ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления. Не дело конечно, объявлять почти через месяц после обнаружения (а тут даже после исправления) об уязвимости, но и не дело выдавать почти всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для хранения глифов).
     
     
  • 2.9, Аноним (-), 02:41, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    С месяцем конечно же ошибся, не так новость прочитал, но сути это не меняет
     
  • 2.10, Logo (ok), 02:51, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена
    >уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё
    >равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец
    >в области безопасности, ты эту уязвимость найдёшь, в противном случаи -
    >ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя
    >не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления.
    >Не дело конечно, объявлять почти через месяц после обнаружения (а тут
    >даже после исправления) об уязвимости, но и не дело выдавать почти
    >всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для
    >хранения глифов).

    Видимо не говорили, так, как постоянно встречались непонятные ситуации с разными программами под GTK и одного намека было бы достаточно, где копать. Я только сейчас и понял, почему у меня разработки под GTK глючили. Под QT работает, под GTK-2 сбоит, пока не перешел на Mandriva 2009.1, а в ней Pango 1.24.1. Все нормально. Я считаю, что верно поступили, мгло бы быть очень плохо.

     
  • 2.27, zuborg (?), 11:08, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена
    >уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё
    >равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец
    >в области безопасности, ты эту уязвимость найдёшь, в противном случаи -
    >ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя
    >не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления.
    >Не дело конечно, объявлять почти через месяц после обнаружения (а тут
    >даже после исправления) об уязвимости, но и не дело выдавать почти
    >всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для
    >хранения глифов).

    Нет смысла просто. В мире opensource практически невозможно скрыть информацию о месте и виде исправления - эта информация буквально в открытом виде лежит внутри патча (если патча нет то можно проанализировать diff старой и новой версии). Даже бинарные заплатки Microsoft-а умудряются анализировать и реализовали метод автоматической! генерации експлойтов для исправляемых уязвимостей.

     
     
  • 3.31, Аноним (-), 15:09, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Нет смысла просто.

    и
    >внутри патча (если патча нет то можно проанализировать diff старой и новой версии

    Взаимоисключающие параграфы. Когда есть дифф - есть обновлённая версия, где этой уязвимости уже нет, кто не обновился, то сам себе злобная длинноносая деревянная кукла.


     

  • 1.11, Eugeni (??), 04:18, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это вообщето нормальная практика для уязвимостей (гуглим на тему oss-security embargo date).
     
     
  • 2.17, User294 (??), 07:35, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Это вообщето нормальная практика для уязвимостей (гуглим на тему oss-security embargo date).

    Это достаточно нормальная практика для критичных уязвимостей в кроссплатформенной либе которая настолько широко используется что есть в весьма многих системах(много кроссплатформенного софта под разными ОС юзает эту либу т.к. она умеет дофига всего).Было бы лучше если бы школьники начали глушить 0-day сплойтами все вокруг?Хуже от того что уязвимость придержали разве что таким вот школьникам - найти дыру и сплойт сделать им самим слабо.Вот наверное и бухтят - халявы для них не вышло, видите ли.Хотя сам факт что есть дыра без указания деталей можно было бы и сообщить вообще-то.

     

  • 1.23, Alen (??), 10:28, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    #emerge --sync;emerge -pv pango
    These are the packages that would be merged, in order:

    Calculating dependencies... done!
    [ebuild   R   ] x11-libs/pango-1.22.4  USE="X -debug -doc" 0 kB

    Бесполезно - пока гром не грянет никто креститься не будет! :)
    в стабильной ветке дырявая панга :)
    По этому сообщения об отверстиях, имхо, надо выкладывать сразу после появления
    фиксеной версии и никого более не ждать.

     
     
  • 2.24, Аноним (-), 10:41, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Чё-то portage как всегда тормозит с секьюрными обновлениями.
     

  • 1.26, charon (ok), 10:53, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в Федоре 10 баг до сих пор не исправлен, старый Pango стоит
     
  • 1.28, NegatiV (ok), 11:44, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Debian уже пару дней как выпустил патч
     
  • 1.29, Loafer (ok), 12:20, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хе, чуть что не так, так сразу "а причём здесь Linux" и глазки такие красненькие смотрят как на новые ворота :)
     
     
  • 2.30, Alen (??), 13:06, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    pango-1.24.1 (04 May 2009)
    Нет, в portage, ebuild с фиксеной версией появился еще 4 мая, только
    что то тянут с переводом в стабильную ветку.

    ЗЫ а по поводу красных глаз, на зеркало обижайтесь :)

     
     
  • 3.35, User294 (??), 08:24, 13/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >что то тянут с переводом в стабильную ветку.

    А банальные убунтуйцы опять все вовремя заапдейтили и юзерам раздали...

     
  • 2.32, www (??), 18:13, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    http://www.driverskit.com/dll/libpango-1.0-0.dll/1705.html
     
  • 2.34, User294 (??), 22:11, 12/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Хе, чуть что не так, так сразу "а причём здесь Linux"

    А линуксы сами по себе никак не относятся к сторонним библиотекам.А хотя-бы и популярным настолько чтобы нередко встречаться в оных.

    И кстати виндузятникам как всегда хуже всех придется.В пингвине мне апдейтер заменит одну либу, качнув небольшой пакет только с этой либой и все.А вот в винде придется искать ВСЕ юзающие эту либу проги САМОЛИЧНО! И опять же САМОЛИЧНО их все апдейтить, надеясь что их авторы не дятлы и проапдейтили используемую либу в новых версиях программ...

    В итоге - пингвины и прочие подобные с нормальными системами управления пакетами на голову впереди "прогрессивного" человечества типа виндузятников.Ну вон MS попытался содрать su+sudo в виде UAC.Получилось хреново, хоть и приподняло безопасность.Лет через 10 наверное попытаются и свои репы поднять.Как всегда - горбато и убого, с массой ограничений, неудобств и бестолковостей, разумеется.

     
     
  • 3.37, AlexanderYT (?), 13:46, 13/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще говоря, можно сказать Лисе не использовать pango. Что собственно у меня и сделано, т.к. после этого Лиса по шустрее будет.
     
     
  • 4.40, User294 (??), 17:17, 15/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Вообще говоря, можно сказать Лисе не использовать pango

    Я думаю что далеко не только лис оной пользуется.В зависимостях пакетов сия либа светится часто и много ;)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру