The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

12.09.2017 09:26  В Emacs 25.3 устранена уязвимость

Состоялся релиз текстового редактора GNU Emacs 25.3, развиваемого проектом GNU. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта другому участнику только осенью 2015 года.

Выпуск носит внеплановый характер и экстренно подготовлен для устранения опасной уязвимости, которая позволяет организовать выполнение кода при разборе текста c разметкой "Enriched Text" (RFC 1896). Так как почтовые клиенты на базе Emacs по умолчанию выполняют декодирование сообщений с "Content-Type: text/enriched", то уязвимость можно эксплуатировать удалённо путем отправки пользователю специально оформленного сообщения.

Уязвимость вызвана ошибкой в обработчике 'x-display', при помощи которого осуществляется подстановка параметров 'display', которые, в свою очередь, могут быть заданы в виде динамических форм, оформленных на языке Lisp. Таким образом может быть осуществлено встраивание в текст произвольных исполняемых блоков на Lisp.

В качестве обходного пути защиты можно запретить декодирования "Enriched Text", добавив в ~/.emacs, ~/emacs.d/init.el или site-start.el:


  (eval-after-load "enriched"
    '(defun enriched-decode-display-prop (start end &optional param)
       (list start end)))


  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: Выпуск текстового редактора GNU Emacs 25.2
  3. OpenNews: Доступен релиз текстового редактора GNU Emacs 25.1
  4. OpenNews: Вышел Conkeror 1.0.0, Emacs-подобный браузер на движке Mozilla Gecko
  5. OpenNews: Столлман уступил место лидера проекта Emacs
  6. OpenNews: Оконный менеджер на основе Emacs
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: emacs
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, нэту, 09:45, 12/09/2017 [ответить] [смотреть все]
  • +29 +/
    в любой операционке есть свои дыры...
     
     
  • 2.43, Аноним, 20:39, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    А в этой операционке есть пакетный менеджер чтобы их патчить?
     
     
  • 3.49, Ordu, 00:14, 13/09/2017 [^] [ответить] [смотреть все]
  • +/
    Это лисп, тут не нужен пакетный менагер, чтобы править уязвимости В тексте ново... весь текст скрыт [показать]
     
  • 3.58, Аноним, 08:00, 13/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    есть, чтобы патчить лисповые модули https www emacswiki org emacs ELPA для об... весь текст скрыт [показать]
     
  • 1.2, freehck, 09:51, 12/09/2017 [ответить] [смотреть все]  
  • +11 +/
    А новый лидер параноик не меньше старого. Это хороший знак. :)
     
  • 1.3, waylandbeliver, 09:55, 12/09/2017 [ответить] [смотреть все]  
  • –8 +/
    Блин, я уж думал они закрыли разработку VIM и всех VIM-like редакторов и плагино... весь текст скрыт [показать]
     
     
  • 2.4, ryoken, 10:11, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    > Блин, я уж думал они закрыли разработку VIM и всех VIM-like редакторов
    > и плагинов.

    Это такой наброс и провокация флейма? :D

     
     
  • 3.5, freehck, 10:21, 12/09/2017 [^] [ответить] [смотреть все]  
  • +8 +/
    > Это такой наброс и провокация флейма? :D

    Учитывая, как он написал слово believer, это наверное оскорбление чувств верующих. ;)

     
     
  • 4.11, Аноним, 11:20, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Оскорбление чувств любителей ливерной колбасы.
     
  • 4.40, Аноним, 17:44, 12/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Мне кажется его ник буквально переводится как Wayland, будь живым , а в перенос... весь текст скрыт [показать]
     
     
  • 5.45, Ordu, 21:02, 12/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Wayland, будь печёнкой. Омномном.
     
  • 4.42, Аноним, 20:27, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    >beliver
    >liver

    Может он просто алкоголик :)

     
  • 2.55, Аноним, 07:19, 13/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Быть вайланду печенью, если я правильно понял ваш ник?
     
  • 2.56, Аноним, 07:23, 13/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    1 В новости нет ни слова про vim Читайте новость 2 Emacs не есть Vim, читайт... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, sabakka, 10:45, 12/09/2017 [ответить] [смотреть все]  
  • +1 +/
    "произвольных исполняемых блоков на Lisp" не для школоты
     
     
  • 2.19, школьник, 11:57, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    я прекрасно умею копировать скобочки мышкой - точно так же, как и буковки.
     
  • 1.10, Аноним, 11:12, 12/09/2017 [ответить] [смотреть все]  
  • –2 +/
    Ох уж эти сказочки, про вклад Столлмана в развитие Emacs)
     
     
  • 2.13, ryoken, 11:26, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Аншлаг Аншлаг Вот подтянулись личности, которые знают как всё было на самом д... весь текст скрыт [показать] [показать ветку]
     
  • 2.33, freehck, 14:34, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И правда, какое он вообще имеет отношение к Emacs Он же ничего для Emacs не сде... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Какаянахренразница, 17:50, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Авраам родил Исаака Исаак родил Иакова Столлман родил Емакса ... весь текст скрыт [показать]
     
  • 1.14, лютый жабист__, 11:32, 12/09/2017 [ответить] [смотреть все]  
  • –1 +/
    <ohohoho>
    На чём написан Емакс? И кто писал, говорят не уеб-макаки?
    </ohohoho>
     
     
  • 2.16, анон, 11:49, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    ребенок не заметил впопыхах, что про платформенную невозможность написать уязвим... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, лютый жабист__, 12:14, 12/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А мне казалось это сишкины во всех ветках про Раст, Жабу и Го гадят про нунужно... весь текст скрыт [показать]
     
     
  • 4.34, freehck, 14:44, 12/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    А что не так, почему сразу гадят-от Ну нужно же, даже ежу понятно А не ты л... весь текст скрыт [показать]
     
  • 4.46, _, 21:04, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    А что если запрещу - бросишь - Писать то можно но иногда 143 миллиона пип... весь текст скрыт [показать]
     
  • 4.54, Аноним, 07:19, 13/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Компьютеры - лютое шерето.
     
  • 1.15, Борщдрайвен бигдата, 11:47, 12/09/2017 [ответить] [смотреть все]  
  • +2 +/
    Так, погодите. Текстовый редактор выполняет произвольный код с редактируемого текста.
    Феерично. Это если как бы IDEA при открытии исходников зловреда на scala (не смейтесь, я для примера) тут же его выполняла. Хоть и не совсем корректно сравнивать.
    Но что закрыли — хорошо.
     
     
  • 2.20, ВстолМан, 11:59, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    вас обманули emacs - это такая операционная система со встроенным в нее лиспом ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, Аноним, 13:33, 12/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    А что, на лисп-е можно даже текстовый редактор забацать И чего Работает Во зд... весь текст скрыт [показать]
     
     
  • 4.30, ВстолМан, 14:12, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    ну раз можно целые операционные системы - чего ж редактор-то не Другое дело, чт... весь текст скрыт [показать]
     
  • 4.36, Аноним, 15:33, 12/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Бесполезная вещь. Зато уязвимость пофиксили! Это правильно.
     
     
  • 5.47, _, 21:06, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    >Бесполезная вещь.

    Ты путаешь. это - у тебя между ушами :-)

     
  • 3.37, ryoken, 16:00, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Вы чуть-чуть путаете Это будет ОСью, когда его с GRUB2 скрестят, чтоб уж далеко... весь текст скрыт [показать]
     
     
  • 4.48, Аноним, 21:23, 12/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А полноценной осью когда systemd заэмбеддят ... весь текст скрыт [показать]
     
  • 1.17, анон, 11:52, 12/09/2017 [ответить] [смотреть все]  
  • +/
    set -o emacs
    links opennet.ru
    PWNED???!!!!1111

    пишу с мобилы ребята, камп ...

     
  • 1.18, Аноним, 11:54, 12/09/2017 [ответить] [смотреть все]  
  • +/
    Интересно, Столман просматривает почту в GNU Emacs Приватные ключи для доступа ... весь текст скрыт [показать]
     
  • 1.21, saahriktu, 12:10, 12/09/2017 [ответить] [смотреть все]  
  • –3 +/
    Вот поэтому и рулит unixway, а не эти комбайны со скриптовыми движками Я вот пр... весь текст скрыт [показать]
     
     
  • 2.23, Борщдрайвен бигдата, 12:23, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Похвастался? Ползай обратно, вот тебе дежурная порция внимания.
     
  • 2.24, Аноним, 13:12, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    gopher не обязательно нужен, иногда достаточно передавать файлы дискетой Вышли ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Аноним, 13:23, 12/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Согласен, а КОИ-8Р в движке опеннета - это расточительство КОИ-7 хватает на всё... весь текст скрыт [показать]
     
  • 3.29, A.Stahl, 13:43, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    А разве ФАТ16 вообще кто-то в здравом рассудке использовал на дискетах?
     
  • 3.32, Аноним, 14:20, 12/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    к сожалению, FAT12 на 8 записать не можем - наша операционная система считает ч... весь текст скрыт [показать]
     
  • 2.31, Аноним, 14:15, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Ты понимаешь, что ты УЖЕ слепил комбайн Должен был отдельно ed, отдельно програ... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, freehck, 15:12, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Экосистема Еmacs в целом соответствует философии Unix Макилроя Emacs -- не комба... весь текст скрыт [показать] [показать ветку]
     
  • 2.38, Ordu, 16:08, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Естественно не поломает Он же не умеет в почту Если ты ещё избавишь свой текст... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, Аноним, 03:58, 13/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Не факт Вот перед самым носом пример специально уязвимой программы Ломается че... весь текст скрыт [показать]
     
     
  • 4.53, Ordu, 04:24, 13/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Текстовый редактор, который не умеет редактировать тексты выглядит так _start ... весь текст скрыт [показать]
     
  • 2.51, Аноним, 03:55, 13/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А может у тебя и BBSка есть Как раз модем попался под руку, V 34 , все дела ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.60, saahriktu, 12:53, 13/09/2017 [^] [ответить] [смотреть все]  
  • +/
    У меня нету А так живые BBS ки, вроде, продолжали быть Некоторые доступны прям... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor