В библиотеке libgsf, развиваемой проектом GNOME, выявлена уязвимость (CVE-2024-42415), которая может привести к выполнению кода при обработке специально оформленного файла. Уязвимость вызвана целочисленным переполнением, приводящим к записи данных за пределы выделенного буфера при обработке таблицы распределения секторов в процессе разбора параметров из заголовка файлов в формате CDF (Compound Document Format)...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62006

• Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 09:50 , 07-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,iPony129412, 09:51 , 07-Окт-24
    • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 12:22 , 07-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 12:20 , 07-Окт-24
    • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Nv, 12:46 , 07-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,какая разница, 14:56 , 07-Окт-24
    • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 11:59 , 08-Окт-24
• Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 10:29 , 07-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,iPony129412, 10:38 , 07-Окт-24
    • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 11:07 , 07-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,zalupa, 10:41 , 07-Окт-24
    • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 10:48 , 07-Окт-24
      • Уязвимость в библиотеке libgsf, затрагивающая GNOME,iPony129412, 10:51 , 07-Окт-24
      • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 11:21 , 07-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 11:04 , 07-Окт-24
    • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 11:29 , 07-Окт-24
      • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 12:56 , 07-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 14:17 , 07-Окт-24
• Уязвимость в библиотеке libgsf, затрагивающая GNOME,oditynet, 10:48 , 07-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 10:57 , 07-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 11:05 , 07-Окт-24
    • Уязвимость в библиотеке libgsf, затрагивающая GNOME,oditynet, 11:11 , 07-Окт-24
      • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Black_Kot, 03:49 , 08-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 14:24 , 07-Окт-24
• Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 13:06 , 07-Окт-24
• Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 13:52 , 07-Окт-24
• Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 14:04 , 07-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,какая разница, 14:55 , 07-Окт-24
    • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 15:55 , 07-Окт-24
      • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Данные в поле Name, 16:58 , 07-Окт-24
        • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 21:33 , 07-Окт-24
        • Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 22:43 , 07-Окт-24
• Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 14:21 , 07-Окт-24
  • Уязвимость в библиотеке libgsf, затрагивающая GNOME,какая разница, 14:52 , 07-Окт-24
• Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 16:15 , 07-Окт-24
• Уязвимость в библиотеке libgsf, затрагивающая GNOME,Аноним, 19:44 , 07-Окт-24

Круто!
Можно даже файл не открывать, достаточно просто скачать.
Вот она, надежность))

А про саму дырень даже писать ничего не хочу.
И так всё понятно...

Никогда такого не было, и вот опять.

И ведь хомусы продолжают настойчиво юзать гноме даже при том что этот гуй в принципе неюзабелен баз дизайн. Хомам главное гипножабу показать что вы будете совершенно счастливыми и всё они рады. Отроки во вселенной пророческий фильм.

Ну а ты думаешь почему гноме продвигают из всех доступных щелей? И со всеми кто против гноме потом приключаются разные проблемы?

Alt+g и вперед

А где надёжность? В крысе, кедах, мяте?

> А где надёжность? В крысе, кедах, мяте?

Нигде. У них у всех один первородный дефект, так сказать.
Вся надежда на некоторые новые ДЕ. Где научатся не писать за пределы буфера.

А в LXQt и XFCE нет подобного шлака. Чем больше шлака - тем больше уязвимостей.

не, чем меньше популрность, тем меньше уязвимостей

приницп Джо работает

ну да, а кто будет тратить силы по пропихиванию бекдоров в системы которыми никто не пользуется?

Ага, конечно! Linux Mint 22 XFCE - библиотека присутствует!

То, что она присутствует, не значит что она используется. В дебиано-убунтах кое-какие пакеты тащутся по зависимостях и не используются.

Вот советуют, как отключить превьюшки для офисных документов

https://forum.xfce.org/viewtopic.php?id=15972

Правильно, удалив один пакет

Просто нужно отключать в ПМ установку рекомендованных пакетов, и тогда ничего не будет тащиться.

А вообще без гуя ещё меньше "шлака". Бросайте вы эти LXQt и XFCE.

Ну вообще, LXQt и LXDE самые минимальные DE с минимумом шлака. Особенно, если ставить с --no-install-recommends.

Не, идеологически-то аноним прав. WM лучше, чем DE, а лучше всего просто Emacs запустить на весь экран, уведомления получать в sauron, а окнами управлять через exwm.

Единственное, я только не знаю, как системный трей в exwm сделать.

Lubuntu 18.04 вот что пишет:

> # tracker reset --hard
> Command 'tracker' not found, but can be installed with:
> apt install tracker

Хорошо, что я не обновляюсь.

Странно,но почему у меня tracker выключен уже как год? Может потому что я изучаю систему, а не пишу **** вида "А про саму дырень даже писать ничего не хочу.
И так всё понятно... "
Сайт офигенный?но комментаторы как были дном в 2015 году? так и остались . Мало кто что-то свое создал, но написать ерунду может каждый

> Может потому что я изучаю систему

А потом у тебя абсолютно аналогичная дырень будет в другом компоненте.
Или софтине. Или вообще в ядре.
И это повторяется из года в год уже лет тридцать.
Поэтому и так всё понятно.

> Мало кто что-то свое создал

Разве нужно быть шеф-поваром чтобы понять что еда тухляк?

> но написать ерунду может каждый

Так и пишут. А потом там дырени находят.

> Странно,но почему у меня tracker выключен уже как год?

странно, что ты еще смог его выключить :)

arch - это правильный выбор. ))

Gentoo - это правильный выбор.
Вообще этот tracker и libgsf не установлены, потому что лишние зависимости отключены попросту.

Полагаю, те, кто так пишут, как раз и создали, поэтому прекрасно знают, о чём говорят.

Как понять, что "Код проекта написан на языке Си и поставляется ..." не открывая новость?

О! Как раз почти год с прошлой дырени в гномовом tracker CVE-2023-43641
https://www.opennet.dev/opennews/art.shtml?num=59896

P.S. В Debian имена сервис файлов для маскирования с суффиксом "-3".

$ apt-file search /usr/lib/systemd/user/tracker
tracker: /usr/lib/systemd/user/tracker-xdg-portal-3.service
tracker-extract: /usr/lib/systemd/user/tracker-writeback-3.service
tracker-miner-fs: /usr/lib/systemd/user/tracker-miner-fs-3.service
tracker-miner-fs: /usr/lib/systemd/user/tracker-miner-fs-control-3.service

> Опасность состоит в том, что использующий libgsf сервис GNOME автоматически индексирует и разбирает все файлы в домашнем каталоге без каких-либо действий со стороны пользователя.

Всегда интересовало: а что именно подразумевается под всем этим "индексирует"? И как можно воспользоваться результатами этой "индексации"? Никто не разбирался?

Ты что-то скачал, система "записала" его данные в конфиги и "написала" где этот файл в системе.
Так понятно?

>Так понятно?

Нет.
 
Какого рода данные по этим файлам "система записала в конфиги"? Какую-то метаинформацию по файлам известных форматов (например: картинка png, 640*480, 32 бита), вхождение слов/фраз в теле/заголовках? Как потом это пользователю использовать? Поиск: "квартальный отчёт 2023" - пойдёт, "картинка с вазой" - вряд ли найдёт.

Как-то не очень функционально всё выглядит: либо для забывчевых, либо у кого бардак в файлах. Зачем подобное включать всем - непонятно.

Даже банальный поиск по названию файла требует индексации, чтобы не читать весь диск на каждый поиск. В Nautilus ещё как минимум есть фильтрация по типу файла и поиск в поддиректориях, это тоже требует индексации.

> Даже банальный поиск по названию файла требует индексации, чтобы не читать весь
> диск на каждый поиск.

Для этого у нас уже 100 лет (смотрит в заголовок сорца: ладно, не 100 а лишь 35) как есть locate. Чего оно умеет "больше" и лучше?

Если делать поиск по всему диску, то такая индексация, действительно, может быть полезной. Но после пары подобных поисков уже начинаешь более точно указывать, где искать. И тогда всё не так страшно: файловые системы всё-таки оптимизированы под перебор содержимого каталогов + разного рода кэширование + ssd. А поиск/фильтрация по типу файла без привязки к файловым расширениям - это да, без какой-нибудь индексации будет тяжко. OK, принимается.

> использующий libgsf сервис GNOME автоматически индексирует и разбирает все файлы в домашнем каталоге без каких-либо действий со стороны пользователя

Вон куда метят! "Домашний каталог". "Без действий пользователя".
Spyware в чистом виде.

Я тебя огорчу, но это просто индексация файлов..

Огорошу вас. В Кедах тип файла идентифицируется не по расширению, а по заголовку. Отключить это никак нельзя. Так что даже если тебе кинут файл 0001.download.tmp, то кеды его всё равно откроют для создания миниатюр. И для индексации тоже.

Tracker - гадость
https://gist.github.com/vancluever/d34b41eb77e6d077887c