Опубликованы корректирующие выпуски X.Org Server 21.1.11 и DDX-компонента (Device-Dependent X) xwayland 23.2.4, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранено 6 уязвимостей, некоторые из которых могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60456
Не стоит забывать, что все эти проблемы иксов до сих пор не были исправлены благодаря сторонникам вейланда (ну и определённым сотрудникам корпораций, продавшимся преступникам за гроши).
Не стоит забывать, что все эти проблемы не были исправлены, потому что некому исправлять. Луддиты только громко шатают трубу на форумах. Где форк иксов с исправленными багами? Ну, где?Скоро вас васяны с васяноиксами на растишке спасать будут от страшного вяленого.
Ещё можно вспомнить, что все проблемы иксов начались как раз с создания васянофорка, на который оттянули ресурсы сообщества и оперативно угробили, создав кучу препятствий посторонним.
все проблемы иксов начались - все время использования Xorg у меня были те или иные особенности. Не могу вспомнить время, чтобы я был в восторге от использования X. Никогда сильно хорошо не работало.Вам скорее всего очень повезло, что так совпало, что у Вас Xorg начал играть красками в момент появления wayland.
На мой взгляд появление wayland и mir вызвано принятием факта, что у полных энтузиазма людей опускаются руки при мысли о внесении правок в Xorg.
А ведь до того не было готовых инструментов, позволяющих эффективно отлавливать подобные уязвимости. И их не было, раз до сих пор не нашли. Возможно, всё дело в том, что после монополизации разработки, иксами внезапно занялись веб-программисты корпораций.
> А ведь до того не было готовых инструментов, позволяющих эффективно отлавливать подобные уязвимости.Разве? Мне казалось даже в 2006-12 уже были проекты. Cppcheck вышел в 2007, Splint тоже.
Но использовались ли они? Сомневаюсь.> Возможно, всё дело в том, что после монополизации разработки, иксами внезапно занялись веб-программисты корпораций.
Хахаха, опять корпорации "настоящим свободным программистам" в штаны надюрили?
Как можно монополизовать открытый проект? Ты ж просто форкаешь и исправляешь все, что душе угодно)
О чём и речь. Когда их даже не было, а компиляторы были куда менее умными и доступными, проблем с кодом было меньше. А тут они есть, и никак не помогли форку. Насчёт "просто форкаешь", так может говорить только человек, бесконечно далёкий от темы. Там минимум посторонних людей, потому что очень много труда вложено в создание негативного образа, и у других корпораций нет мотивации идти против многолетнего пиара.
> Когда их даже не было, а компиляторы были куда менее умными и доступными, проблем с кодом было меньше.Неа, просто код был проще) Хотя уязвимости в xorg добавляли еще в далеков 88 году
(opennet.ru/opennews/art.shtml?num=59906)> Там минимум посторонних людей
Там куча народу те самые люди, который X11 пилили
> очень много труда вложено в создание негативного образа, и у других корпораций нет мотивации идти против многолетнего пиара.
Какой негативный образ? Ты о чем? Давай без теорий заговора.
Разработчики сами не хотят макаться в тот код.
Посмотри насколько активно туда контрибутят - 156 изменений от 32 разработчиков за 2022 год
https://opennet.ru/58410-xorg
Малформед файлы это из другой оперы, в те времена надёжные проверки были дороговаты. Вон в венде тысячи подобный уязвимостей в доисторических форматах нашли. В тут не нашли, спасибо эффективным разработчикам на зарплате.
> Там минимум посторонних людейЧто-то это не помешало бздишникам создать Xenocara еще в 2007 году. А вот у пингвинят почему лапки.
> потому что очень много труда вложено в создание негативного образа
Это шутка такая? Или это из серии теорий заговора?
Иксам не нужно создавать никакой негативный образ. Достаточно один раз заглянуть в кода и больше туда подходить не захочешь. Даже тыкать палкой издалека - вдруг на тебя ляпнет.
"GLX is a horrible demotivator! 80,000 lines of sheer terror."
"In the past couple of months I've found 120 bugs there, and I'm not close to done."Про идеальность иксов пишут только те, кто застал их уже в неком метастабильной состоянии, когда "всё типа работает" (а то что не работает - то нинужна), и никогда не пытались там ничего исправить. Очень напоминает родившихся в 2000х и яростно наяривающих на С... ладно, не будем про политику.
А хваленое "сообщество" может только ныть в комментах о том как же "раньше было хорошо" и как "злые корпы портят наш линукс".
> Как можно монополизовать открытый проект?Легко. Покупаешь пару ключевых разработчиков, открытого и скрытого п-а (программиста), за миску рисового пудинга. Энтузиасты отваливаются сами, не желая работать с прод-ыми ш-ами (продуктовыми штатными сотрудниками). Если таки придут, все добавления идут на слияние через хозяина, по праву первой ночи. Можно даже права требовать передавать на патчи, иначе не принимать.
> просто форкаешь и исправляешь все, что душе угодно
И сам проверяешь-принимаешь, отправленые всеми другими энтузиастами, патчи или бэкпортируешь их из апстрима. Без оплаты труда и выходного дня, в отличие от.
> Легко. Покупаешь пару ключевых разработчиков, открытого и скрытого п-а (программиста), за миску рисового пудинга.Простите, погромисты в этой куче сейчас даже за деньги не хотят ковыряться.
> Энтузиасты отваливаются сами, не желая работать с прод-ыми ш-ами (продуктовыми штатными сотрудниками).
Какие-то хиленькие энтузиасты сейчас остались! А вот было время...
> Если таки придут, все добавления идут на слияние через хозяина, по праву первой ночи.
> Можно даже права требовать передавать на патчи, иначе не принимать.А можно добавлять патчи в свой форк и крутить на одном месте их мнение. Ксенокара так и делает.
> И сам проверяешь-принимаешь, отправленые всеми другими энтузиастами, патчи или бэкпортируешь их из апстрима.
> Без оплаты труда и выходного дня, в отличие от.Конечно! Ты же Ынтузиаст! Ты же (с придыханием!) "Сообщество". Ты же гордый какир, борящейся с мерзкими корпами!
Тебе не нужны их подачки! Даже миска риса! Ты будешь сидеть выходными и тратить свое бесценное время, чтобы исправить древнюю кучу и услышать от благодарных юзеров "а пачиму так долго??!!1"
При создании васянофорка иксы наконец-то стали модульными, научились автоматически определять оборудование и подтягивать нужные драйверы. До этого времени иксы были монолитом, с вкомпилированными драйверами и требованием обязательно прописывать все характеристики оборудования в XFree86.conf, вплоть до частот монитора.Я бы не назвал это "проблемы начались". Я бы назвал это "часть проблем решили таким способом".
> создав кучу препятствий посторонним.
Да, именно после того, как Киту Паккарду запретили заниматься разработкой иксов, и был создан форк, решивший часть проблем. Ужасно, ужасно.
А ты помнишь с чего начался Х11?
Он таки начался с форка)
Был такой XFree86 и с его версии 4.4 форкнули то, что стало X11R6. Который превзошел своего предшественника.Так что про форки заливать не нужно, просто Х11 унылое забагованное и окаменевшее.
Если бы сделали Х12 в котором исправили все проблемы - то сейчас все пользовались бы им.
Не стоит забывать, что все эти проблемы иксов были исправлены благодаря сторонникам вейланда, пилившими XWayland.
>Участник 'Admino' запретил публикацию ответов для ника 'Аноним'.Этих и многих других проблем там просто не было. Скорее всего, намеренно код сомнительного качества пихали.
> Участник 'Admino' запретил публикацию ответов для ника 'Аноним'.Извини, тут есть один Серёга из Владивостока, который бегает за мной по всему форуму и срёт из-под анонима. Пришлось запретить.
> Скорее всего, намеренно код сомнительного качества пихали.
А вот возраст этих дырок... 2006 год.
Да, намерено пихали, знали, что в 2024-м придётся пропихивать Wayalnd, которого ещё в проекте не было :D
> А вот возраст этих дырок... 2006 год.
> Да, намерено пихали, знали, что в 2024-м придётся пропихивать Wayalnd, которого ещё
> в проекте не было :DКорпорации умеют играть в долгую, уже тогда существовало агрессивное насаживание вендорлока во всех экосистемах.
Да-да, вендерлок в вейланде))
Именно поэтому фанаты иксов плачутся, что для каждого ДЕ приходится пилить свою реализацию вейланда.
Вроде пока только фанаты вейланда плачутся от гнома и его реализаций. Вполне себе вендорлок, тот же фридесктоп максимально деструктивная помойка.
> приходится пилить свою реализацию вейландаВспомни, пожалуйста, когда вяленный появился и посмотри на календаре какой год на дворе...
А потом прикинь сколько человеко-часов ушло на "свою реализацию" в каждом проекте.
Это прямо успех и повод для гордости, да...
И? это что плохо?
Или ты сторонник E̶i̶n̶ ̶V̶o̶l̶k̶,̶ ̶e̶i̶n̶ ̶R̶e̶i̶c̶h̶,̶ ̶e̶i̶n̶ ̶F̶ü̶h̶r̶e̶r̶ одних Х11 на всех ДЕ?
Это же монополия и навязываение! А вейланд это свобода и возможность реализовать так, как тебе хочется.Может тебе еще не нравится, что дистрибутивов линукса не 1-2 как в винде, а куча?
Каждый дистр может делать по своему, подсматривать на эталонную реализацию или к соседу.
> Вспомни, пожалуйста, когда вяленный появился и посмотри на календаре какой год на дворе...Угу, и сколько сил ушло на борьбу с луддитами
> А потом прикинь сколько человеко-часов ушло на "свою реализацию" в каждом проекте.
В недавней теме про COSMIC чел в одно лицо реализовал свой композер.
> Это прямо успех и повод для гордости, да...Прям позор как "сообщество" противится всеми силами изменениям.
Итак, 4 проблемы - переполнение или запись за границы буфера.
Возможно идея с принудительными проверками не такая уж плохая)А вот возраст этих дырок... 2006 год, дырка уже вполне совершеннолетняя)
В общем тысячи глаз опять обделались.
Напомню что первая версия вейланда была в конце 2008 года.
Дырка уже вполне совершеннолетняя)
Шутка от Бога))
> Напомню что первая версия вейландаНапомню, что в топике уязвимости найдены в ИМПЛЕМЕНТАЦИИ протокола X11 - X.Org Server, а Wayland - это ОПИСАНИЕ протокола.
Такие же дырки могут быть и в имплементациях Wayland, и точно так же кто-нибудь может написать имплементацию X11 на хрусте, где таких уязвимостей конечно же не будет. Но никто этого делать, само собой, не станет.
А самое веселое что реализаций вяленого 4 и это не предел и в каждой может быть своя дыра.
Идеальные иксы стали еще идеальнее!
Сплошь новости про уязвимости. Пора переименовать opennet в openhole
Причем даже непонятно по какому принципу подбирают уязвимости, просто какие-то рандомные подборки, а потом кто-то пишет "остроумные" комментарии под новостью.
По важности и популярности проектов.
Всем пофиг что в очередном нескучном плеере уязвимость.
А уязвимость в иксах, которые в том или ином виде есть почти на каждой системе - это важно.
не, просто припомним цвет сайта, стиль оформления OpenBSD, NetBSD, складываем 2 и 2 и получаем обычный слегка приглушенный спор линукс против *BSD, где главным аргументом всегда были дыры безопасности. Вот по инерции и публикуют.
> пор линукс против *BSDBSD этот спор давно проиграла, оставшись где-то очень глубоко на периферии. Сейчас слышим Linux, подразумеваем Docker, Kubernetes и связанный стек технологий. Нравится это кому-то или нет.
>получаем обычный слегка приглушенный спор линукс против *BSDОбычный спор линукс против *BSD давно протекает по одному и тому же сценарию: повялется бздишник, линуксоиды с усмешкой начинают ему пихать во все дыры. Тот кряхтит, пыжится, сопротивляется, но в конечном итоге оказывается пропиханным со всех сторон, успокаивается и пропадает. BDSM как есть.
Ага, каждая статья про очень важный проект. Возмем пролую новость.
>UEFI-прошивки на базе платформы TianoCoreНу очень популярный и важный проект.
>В коммутаторах и межсетевых экранах Juniper серий EX и SRX, оснащённых операционной системой JunOS, выявлена критическая уязвимостьАга, прямо с JunOS сейчас и пишу.
Насколько я понимаю любой пользователь может написать новость о том, что ему интересно (или на что он наткнулся в сети) если она будет удовлетоврять тематике сайта.Так что ты тоже можешь написать новость!
А мы это обсудим своими фирменными ос(тр|л)оумными комментариями.
А вот если бы пользовались статическими анализаторами, формально верифицировали код с помощью Coq, вот тогда бы подобных дыреней было бы на порядок меньше.
> формально верифицировали код с помощью CoqА это вообще реально для таких больших проектов?
Зачем!? Это десятилетиями работало без проблем.
> Зачем!? Это десятилетиями работало без проблем.
> работало без проблем
> работалоЕсли в твоем понимании вот это
"могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH"
называется "работало" то у меня просто слов нет)Была дырка 18 летняя дырка, и уязвимость в безопасности - это не называется "работало без проблем".
Типичная ситуация "тут труба немного капает, просто забьем... а потом 'а у нас все отопление прормало памагите'".
У вас какая то фиксация на ошибках, вам бы к психологу для начала сходить.На большинстве систем 1-полтора юзера, которые и так пароль от рута знают.
А уж тех кто Х11 через ссш гоняет так вообще не найти в реальном мире.Ещё раз попробуйте понять: есть то что работает и есть то что работает и иногда падает, последнее нуждается в ремонте.
Ну давай вернёмся на Фортран и мультики. А чо, работало же. Зачем эти все язычки и технологии. Перфоленты ещё вернём и перепишем туда экзабайты.
s/мультики/мультикс/
Нет, ты правильно написал - тебе лучше вернуться к мультикам. Где идеальный розовый мир с радужными поняшками.
Вы опять не поняли: оно сейчас работает. Не надо прикладывать никаких усилий, всё уже хорошо.
Тогда я удаляюсь из спора.
У нас слишком разные понятия для "оно сейчас работает".
То что в коде живет баг позволяющий "выполнять код на удалённой системе", то это не нормально.А по поводу "не надо прикладывать никаких усилий, всё уже хорошо" расскажи мне про подключение 2 мониторов).
Я понимаю, что возможно, ты сидишь за одноним монитором, цветопередача и hdr тебя вообще не волнует, у тебя тирринг-слепота.
Но у меня требования другие. И таких как я набралось достаточное кол-во, чтобы начать выкидывать х11 на помойку.
Так что извини, но меня мало волнуют мнение всяких меньшинств-неформалов)
По улицам ходишь в скафандре?
> По улицам ходишь в скафандре?Нет конечно)
Но через дорогу на красный не бегаю, пальцами в розетку не лажу.
В общем наверное скучно живу.Зато я не ною, что с улиц убрали тумбы для привязывания лошадей, как любители некрософта.
>А по поводу "не надо прикладывать никаких усилий, всё уже хорошо" расскажи мне про подключение 2 мониторов).Не понял про два монитора. Сейчас сижу в дебиане с двумя мониторами. Что делаю не так?
У меня один монитор, больше не хочу.
Доча подключала два, никаких проблем не было.Перечитайте текст, там выполнение кода на удалённой системе после авторизации по ссш, те и без хорга можно что угодно запускать. хорг может только рута дать.
Но использование х поверх ссш - большая редкость, я знаю только одного человека который так делает, и делает это исключительно в локалке ибо там огромные объёмы трафика летают.
Потому ещё раз: с вашими фобиями нужна помощь специалиста из области мозгоправства.
Я ж не против вейланда, только сегодня хотел его попробовать.
Но потом открыл вики xfce и понял что ещё немного рановато, надо ещё где то годик подождать.
Похже попробую перетащить на него коди, там кроме коди ничего нет а он вроде работает уже.
> У меня один монитор, больше не хочу.клавиши atl+tab не отвалились в вечном переключении между ide и гуглом\chatgpt\доками?
Ты все пропустил - третьего дня нам объяснили, что НАСТОЯЩИЙ программист гуглом не пользуется, чтобы не спонсировать КОРПОРАЦИИ
Нет.
Код же не принято делать сильно ширее чем 80 символов, даже с учётом обвеса IDE получается не так много места не экране.
Я гоняю.
Потому что консоль (комплексное средство взаимодействия с компьютером) не обязана существовать в одном экземпляре и втыкаться напрямую в комп. У компа может быть сто таких консолей и все в разных местах. При этом комп может и не иметь консоли, кроме управляющей.Не всегда есть возможность установить где попало нужный софт, например, тот же maple, matlab или САПР какой -- или лицензия не позволяет или комп "где попало" такой, что годится только игры играть. Это первый и самый важный кейс. Он достаточно общий.
Второй, сугубо частный -- есть проектор в сети (несколько в разных локациях), его софт работает только в виндовсах. В помещениях, где проекторы установлены, компы грузятся из сети и линукс на них от 2015 года. Поставить на них вайн и поверх него софт проектора невозможно в приинципе даже в рамках сеанса. Я через ssh -Y открываю сессию в локалке на удаленном компе, где у меня стоит вайн и под ним софт этого проектора.
Третий кейс, тоже важный -- заказчик требует, чтобы его софт полностью разрабатывался и гнездился, включая все промежуточные результаты и файлы, строго на выделенных для этой цели компах, физический доступ к которым ограничен временем и днями недели. Имея доступ к этим компам по ssh -Y я могу не только работать в удобное мне время, но и вообще не ходить в присутствие.
Третий кейс выглядит, как нарушение договоренностей и обман заказчика.
Главное чтобы не получилась ситуация "мой комп взломали, потмо комп заказчика и в сеть утекли тонны файлов которые никто не должен был видеть".
Надеюсь ты все-таки пишешь про университет и доступ к компам в аудиториях)
Плохо работало. Отвратно. Так отвратно, что находят дыры 2006 года.
Анонин, всегда можно начать с небольшого подмножества, на основе которого пишется всё остальное. Затем, со временем, расширять это подмножество.
Coq оверкилл для большинства проектов, но тот же clang предоставляет массу полезных чекеров и санитайзеров https://clang.llvm.org/docs/index.html только пользуйся.
Достаточно писать на нормальных строгих языках, что открывает фундаментальную опцию автоматической верификации (нужно только будет корректность доказать). Coq все же для доказательства теорем придуман. А стат. анализаторы - это костыль для язычков, которые в строгость не умеют.
пора прогнать весь код через LLM и удалить ненужное и неактуальные, заодно оптимизировав, не поверю, что у них нет мощностей для этого дела
Боюсь что тогда придется удалить малоквалифицированные кадры (то есть процентов этак 90%) и переписывальщиков всяких.
> Боюсь что тогда придется удалить малоквалифицированные кадрыТак уже. В нашей фирме с начала прошлого года сократили всех джунов, тестировщиков и даже пару миддлов, заменив их на AI.
А вы уверtны, что те мидлы были именно мидлами, раз их смог заменить имеющийся "AI"?
>пора прогнать весь код через LLM и удалить ненужное и неактуальные, заодно оптимизировав,Заодно напихав туда на порядок более ненужного и неактуального мусора, который тот самый LLM нагенерит. Только профнепригодный не будет фильтровать выдачу LLM, там 50% мусора, и 50%-ая вероятность выдачи истинной информации.
вообще то ai "умнее" большинства программистов, так что он прав. пысы. ты можешь и дальше успокаивать себя своей нужностью.
Я вообще не программист, и не админ, так что твоя желчь тут мимо. Но для написания юнит тестов, и вообще тестов всяких побольше, с удовольствием бы впряг нейронку, того же чатагпт. Вот только не могут они (пробовали по-всякому). Что-то простое для демонстрации на ютубчике оно выдаст, а когда его просишь написать юнит тесты на такое-то множество функций/классов на выходе мусор. Выглядит как юнит тесты, но там не юнит тесты.
И еще круто было бы написание документации на ai свалить, чтоб время не тратить на эту мерзкую работу. Не получается у него. Пишет красиво, а по сути бред.
всегда так делаю! Если б еще подлый Бидон не запретил мне пользоваться чатгопотой4 - вообще бы кроме ctrl-c/ctrl-v никаких кнопок не тыцал.Ну и что что бред - как будто кто-то это читать потом собирается?!
И потом... читывал я писанное кожанными мешками - вот тогда я познал что есть бред.
16-го syspatch прибыл в OpenBSD.. хорошо..идеи "выкинуть ненужное" - пожалуйста, не надо.. и так некоторые уже 15 лет планируют выкинуть все иксы "за ненадобностью"..
статалализаторы тесты и прочий "чек" - дело хорошее и нужное.. думаю, именно так подобные уязвимости/неточности/небрежности и находят по случаю.. вопрос лишь в сроках устранения и публикации CVE..
опять ты со своим опенбсд, который настолько хорош, что документации нет от слова совсем и настолько безопасный, что падает от бага с выводом в консоль
> опять ты со своим опенбсд, который настолько хорош, что документации нет от
> слова совсем и настолько безопасный, что падает от бага с выводом
> в консольединственная (по сути) система с полной и актуальной документацией, которая ведёт себя именно так, как написано в доках..
баги с выводом в консоль - портированный wscons.. на практике вы с ними столкнётесь либо посещая что-то типа https://www.exploit-db.com/ либо целенаправленно разгребая код.. exploitability rank = 1.8, емнип, насчёт устранённых в 7.2 control sequence issues.. не оправдание, но и не архикритичная штука..
> единственная (по сути) система с полной и актуальной документациейТкни носом в wiki или handbook. MANы это не документация, а справочник (для особо одарённых 1001 раз повторяю).
ещё один не понимающий чем отличается строго структурированная справка от справочника по командам. поэтому если нас делают в кулинарном техникуме, то вас на городской свалке.
> ещё один не понимающий чем отличается строго структурированная справка от справочника по
> командам. поэтому если нас делают в кулинарном техникуме, то вас на
> городской свалке.В каком месте "строго структурированная справка" == wiki или handbook? Manual pages - составная часть документации, мусорка с хаутуями образовавшаяся в результате свального греха школоты - нет.
>MANы это не документацияMAN-это документация. Одна из форм. Если тебе нужна смузихлебные курсы на ютубе, то просто не мучайся, ойти не для тебя
Обожаю этот OpenBSD. Главный девиз, если у вас нет Wi-Fi, значит и уязвимостей тоже не будет!
Ещё там нет trim, bluetooth, здравого смысла.
у меня 300мбит на iwx вайфае - откуда эта чушь что на опене нет вайфая? не первый раз вижу тут
> у меня 300мбит на iwx вайфае - откуда эта чушь что на
> опене нет вайфая? не первый раз вижу тутэт местечковые "ыксперды"..
им всё не так: и fs не торт, и отсутствие trim и т.д. и т.п.. при этом никто из них на реальном железе не пользует OpenBSD.. недавно один из подобных "экспертов" тут жаловался, что static-gzip в httpd не осилил по $ man httpd.conf , а аж на реддите чё-то путное нашёл.. или не нашёл, ибо из трэда оно пропало..
А чо, реальное железо давно начало поддерживать openbsd? Не самоделкины "поставлю и буду молиться, что заработает", а реальная вендорская поддержка?
Ты в серьезный диалог пытаешься с фанатиком, который жЫлезо подбирает под ОС.
Так тут других почитай, что и нет - если не подбирать старательно, то есть все шансы, что какой-нибудь сканер отпечатков пальцев или там принтер на нескучном лялихе не заработает)
> А чо, реальное железо давно начало поддерживать openbsd? Не самоделкины "поставлю и
> буду молиться, что заработает", а реальная вендорская поддержка?ты не поверишь, но:
https://alterwebhost.com/openbsd-vps/
> static-gzip в httpd не осилилМогу 100 баксов поставить (в крипте) что у тебя ничего не получится.
>> static-gzip в httpd не осилил
> Могу 100 баксов поставить (в крипте) что у тебя ничего не получится.отдай в приют для животных..
$ man httpd.conf
/etc/httpd.conf в секцию 'server {}' в конец дописываешь "gzip-static".. для выдачи с компрессией делаешь:
# gzip -k /path/to/{files,list}
# rcctl restart httpd
всё.. работает если дата модификации .gz файла новее "оригинала"..
> при этом никто из них на реальном железе не пользует OpenBSDВключая самого создателя этого поделия.
> у меня 300мбит на iwx вайфаеПочему так мало?
> Обожаю этот OpenBSD. Главный девиз, если у вас нет Wi-Fi, значит и
> уязвимостей тоже не будет!Ты посмотри какое железо используют адепты. Там кора дуба с GMA 950 - это предел мечтаний. Забавно, что у них на сайте написано, типа оно работает с маками на M1, взял с работы макмини чисто ради интереса, оно даже до конца не загрузилось, зависло намертво на стадии загрузки 😄
Такое ловят собрав и запустив с ASAN и мучая фазингом который шлёт всякий рандом и мусор.
Из описания не похоже чтобы там анализатор по исходникам что то смог найти, да и наверняка прогоняли анализатором уже ни один раз до того.
> ASAN .. фаззинг..скорее всего, если это касается сабжа (CVE-2023-6816 CVE-2024-0229 CVE-2024-21885 CVE-2024-21886 CVE-2024-0408 CVE-2024-0409)
упомянутые же выше недочёты при портировании wscons (control sequence issues), емнип, ловили целенаправленно, шерстя код.. хорошо, что нашли, опубликовали и исправили..
Скорее не целенаправленно а просто перетряхивая код и смотря где каких проверок не хватает.Я таким образом пару недочётов в реализации ARP во фре нашёл когда то и ради лулзов даже научился читать удалённо ядерную память по сети через это :)
> научился читать удалённо ядерную память по сетиклёво! кстати, в опёнке доступ к /dev/mem и /dev/kmem по умолчанию закрыт.. для работы с памятью сперва
# echo 'kern.allowkmem=1' >> /etc/sysctl.conf
потом reboot и только после этого можно пользовать dmidecode, procmap, pstat -d и т.д..
Я читал посылая модифицированные ARP запросы, фря в ответ копировала IP и MAC адреса из ARP кеша не 4 и 6 байт а сколько я указал, те до 255 байт. Бесполезное практически, она даже не падала, хотя можно было постаратся наверное.
> Я читал посылая модифицированные ARP запросы, фря в ответ копировала IP и
> MAC адреса из ARP кеша не 4 и 6 байт а
> сколько я указал, те до 255 байт. Бесполезное практически, она даже
> не падала, хотя можно было постаратся наверное.хмм.. т.е. эт не arpd, а "обычный" ответ сетевого на arp запрос..
посмотрел на if_arp.h (arphdr structure defined the fixed-length portion), вроде норм.. надо теперь найти время и палкой потыкать :))благодарю за идею!
> 16-го syspatch прибыл в OpenBSD.. хорошо..Как там эта их Xenocara поживает? Тоже с 2006 года с вулнами? БезопасТнички от бога мля.
Когда иксы станут идеальными и без багов и уязвимостей их закопают ))
Вон, уже редхат убирают из из дистрибутива
Огромное количество их клиентов используют очень непростой и дорогой софт (сапры и программы моделирования, например), взаимодействующий с человеком только через ssh -Y. Значит, этот софт не будет работать под их линуксами, вот и все. X форвардинг сегодня заменить нечем.
Значит у них есть несколько вариантов:1. сидеть на старой версии системы с Х11 - вполне работоспособный подход, я видел и станки, и медтехнику за много денег, которые до сих пор работают на древних версиях линуксов, unux'ов или даже DOS/винда.
2. сменить линукс на что-то другое, и это скорее всего будет винда.
Я как-то не могу придумать "непростой и дорогой софт" типа сапров, которые есть под линукс и нету под оффтопик.
3. реализовать поддержку х11 в нужной им версии DE, раз сами рахработчики и мейнтейнеры этого дистрибутива не хотят.
а) можно просто скинуться деньгами и занести шапке, каноникалу, гному или даже маргиналам, и получить поддержку на еще N лет.
б) крякунуть, плюнуть, форкнуть какой-то дистр, переименовать в LinuxForMoneyBags и нанять команду, чтобы они это все поддерживали.
4. ныть на форуме, плакаться про судьбинушку горькую, самим ничего естественно не делатьПока мне кажется максимально вероятным варианты 4 и 1.
П. 1 условно работает, пока не приходишь к заказчику у которого есть тугумент с какой-нибудь "Политикой в сфере ИБ", явным образом запрещающий эксплуатацию ИС с истекшим сроком поддержки\без контракта с вендором etc. Частично обходимо через, например, лицензирование в качестве ПАКа - но местами-и-временами проблемно.
2. Ну... оно есть. На текущем месте работы вот наткнулся отечественный на CAD с расчетом теплогидравлики - linux-only, причем не legacy какое-то а вполне себе активно развиваемый копролит. И да, норот реально с виндовых машин по сети Х-ы гоняет... выглядит как какая-то редкостная хтонь, но на вид работает.
> Я как-то не могу придумать "непростой и дорогой софт" типа сапров, которые
> есть под линукс и нету под оффтопик.Есть ознакомительные, студенческие или ограниченные версии. Реальные сапры по разработке чипов, например, работают на линуксе, поскольку виндовсы не присутствуют в числодробительном сегменте от слова совсем. Это же и в отношении моделирования.
Тормоза эти ваши виндовсы. Годятся только для рендеринга виртуальной реальности и только потому, что графический интерфейс -- часть ядра. Вяленый именно из-за этого появился -- наркоманам нужны танчики и прочий онанизм.
Вообще непонятно о чём такой вой стоит — иксы никто закапывать не собирается. Даже баги правятся. Они просто будут существовать в виде XWayland, вот и всё. Кому сильно надо проприетарщину пускать или просто древность всякую — да на здоровье.Даже более того, отбитые фанатики могут эту же репу клонировать и поддерживать основной бэкенд, при этом таская из апстрима багфиксы, спонсированные редхатом. Но никто ж ничего как не делал, так и не сделает. Хотя, вот, недавно один васян, на расте свои иксы запилил, в дополнение к своему же posix-совместимому ядру. Но раст некошерен, поэтому 100% никто и ничего.
Я надеюсь, что это комментаторы из последнего срача про Иксы взяли и начали баги править.> Found by: Jan-Niklas Sohn working with Trend Micro Zero Day Initiative
> Found by: Olivier Fourdan
> Found by: Olivier Fourdan and Donn SeeleyА нет, показалось…
Теперь скажите мне - эти уязвимости могли быть найдены санитайзером?
> Теперь скажите мне - эти уязвимости могли быть найдены санитайзером?Небось вон те как-то так их и нашли.
Больше скажу, львиная доля этих уязвимостей висела и висит в багтрекере иксов в виде стрёмных багов и крешей. Некоторые даже находились по нескольку раз разными людьми за последнее десятилетие.Но нет, «работает — не трожь», «иксы идеальны», вот это вот всё.
Про 80000 строк ужаса-а фанатикам редхата не надоело постить цитату одного идиота?человек может быть профи в чем угодно,но он остается человеком со своими пристрастиями и прочим.и не надо тут чушь про "профессиналов" писать. Одна цитата одного дурака. Потому что если ты профи,ты берешь и применяешь навыки рефакторинга и вылизываешь все до блеска.а не можешь- ну так ты не профи, ты болт с горы,который просто декларирует,а не делает.как бэ классификация по поведению-одна из наиболее точных.
Про луддитов-вы бы хоть значение термина посморели,грамотеи. И претензии грамотные. X один. Вяленого много. И пилить новое здорово,вот только где опыт то иксовый?где это все?а нету его.так что вейланд и x это разные вещи,кто бы что не писал в сети.
Резонов разработки вяленого много,потому что увы и ах, в природе нет абстракций,которые позволяли бы пощупать только одну сторону явления.это отсылка,что просто так не бывает ничего. Но одна из причин-лень разрабов. Вторая-бестолковость.80000 ужаса красноречиво намекают на оба обстоятельства. И уж по хорошему, большие проекты разрабатываются и пилятся командами. Всякими архитекторами на верхнем уровне,и на нижнем уровне быдлокодерами. Вот то,что опенсорссообщество-это дохлая фикция,говорит как игнорирование мнения этого сообщества,так собственно и то,что профи самых разных профессий не собрались и не сделали свою красношляпу со своими иксами с миру по нитке. Так что имеем что имеем.идиотов и еще алчных идиотов,играющих в долгую. Да,идиотов прошу вспомнить историю нокии. Шаблон провокатора и агента влияния сцществует не один век).одни видят перемены и ощущают направление тенденций,говорят об этом и фанатики еще дохлого продукта называют их луддитами... смешная манипуляция
Ничего себе наезды и оскорбления.
Этот человек нашел как минимум 120 багов всего в одной подсистеме копроиксов.> Про луддитов-вы бы хоть значение термина посморели,грамотеи.
луддиты - это местный мем, который пошел вроде от Фрактала
> вот только где опыт то иксовый?
Как раз в вяленом. Иксы прекрасное пособие как НЕ нужно делать!
> вейланд и x это разные вещи
Слава богу - да! Как же хорошо, что не сделали Х12, а начали с чистого листа.
> фанатики еще дохлого продукта называют их луддитами
Их называют луддитами, потому что на любую вещь, которую иксы не поддерживают нормально, типа hdr, vrr и тд, тебе начинают втирать "оно нинужна", "мониторы дорогие", "хорошо не жили, нечаво и начинать"
> луддиты - это местный мемизначально было не луддиты, а луддисты в контексте луддистров (дистров для луддитов).
> типа hdr, vrr и тдНо это весь и вправду нафиг не надо, тем более на т.н. "десктопном" linooops. Даже макбуки не знают таких слов.
О! А вот еще один луддит)В прошлой теме про вайн народ рассказывал, как хорошо играется в последние игрушки на линукс.
Почему идея "а давай сделаем игровой десктоп" сразу отметается?
А ведь там будет норм видяха, хороший монитор.И да, на макбуках прошках есть VRR support.apple.com/ru-ru/HT213513
А HDR10 поддерживают модели еще 18 года.
Вы же профессионал, Иванов! Не давайте нам оснований думать, что вы не профессионал!(Ц)
> если ты профи,ты берешь и применяешь навыки рефакторинга и вылизываешь все до блеска.а не можешь- ну так ты не профи, ты болт с горы,который просто декларирует,а не делаетСтало быть, ты не профи. А раз так, то дальше тебя читать нет смысла.