The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление X.Org Server 21.1.14 с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление X.Org Server 21.1.14 с устранением уязвимости"  +/
Сообщение от opennews (?), 30-Окт-24, 00:02 
Опубликованы корректирующие выпуски X.Org Server 21.1.14 и DDX-компонента (Device-Dependent X) xwayland 24.1.4, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях  устранена уязвимость (CVE-2024-9632), которая может быть эксплуатирована для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62136

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. Скрыто модератором  –6 +/
Сообщение от Аноним (-), 30-Окт-24, 00:13 
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +3 +/
Сообщение от 12yoexpert (ok), 30-Окт-24, 00:23 
Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  –6 +/
Сообщение от Аноним (-), 30-Окт-24, 00:18 
Мда, конечно хорошо что иксы закапывают.
Но весь иксовый мусор сейчас затянули в xwayland.
И таких багов в том дидовом омнокоде не известно никому.

Нет бы выкинуть сразу, а кто хочет - пусть сидит на иксих до скончание времен.

Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  +/
Сообщение от мявemail (?), 30-Окт-24, 02:07 
>Из-за ошибки при выставлении нового размера, изменение меняло только значение num_si, но оставляло неизменным значение size_si.

почему разаботчики брезгают макросами для такого вида приколов?
некоторые даже ``free(ptr); ptr=NULL;`` делают руками. а потом получают уязвимости вида "мы в Х строке забыли занулить и получили UB в другом конце программы".
изучила немного вопрос. вроде, ничего плохого в макросах нет.
даже сложные конструкции и ветвления туда без проблем запихиваются через
```
#define Macro() \
  do { \
    <...> \
  } while(0)
```
do и while можно в доп. макросы завернуть, улучшив читаемость:
```
#define Macro() \
  MacroContextBegin() \
    <...> \
  MacroContextEnd()
```
или функции инлайновые почему не использовать? зачем это руками делают, понять не могу?

Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  +/
Сообщение от мявemail (?), 30-Окт-24, 02:11 
вот фикс даже: https://gitlab.freedesktop.org/xorg/xserver/-/commit/85b7765...

тут ж можно было макрос сделать и избежать подобных проблем в любой части кода раз и навсегда.

Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  +/
Сообщение от Аноним (14), 30-Окт-24, 02:18 
Не понимаешь потому что видимо не пишешь ничего полезного. У тебя все указатели только в функции main(), что ты их можешь макросами занулять?
Ну сделаешь ты макрос, который вызывает free(), а затем присваивает NULL, только вот NULL присвоится локальному указателю внутри функции, а в вызывающе функции будет висячий указатель и никакой макрос тут не поможет
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

16. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  –1 +/
Сообщение от мявemail (?), 30-Окт-24, 02:26 
"поможет ``free(ptr); ptr=NULL``, но не поможет ``#define Free(ptr) free(ptr);ptr=NULL``" ?
по-моему, Вы пишете, не думая.
Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  –1 +/
Сообщение от мявemail (?), 30-Окт-24, 02:37 
Using macros for auto-assigning NULL after freeing a pointer is a common practice in C and C++ programming to help prevent dangling pointer issues.

на stackoverflow то же самое говорят.
Вы - тролль.

Ответить | Правка | Наверх | Cообщить модератору

27. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  +/
Сообщение от Аноним (27), 30-Окт-24, 04:19 
На stackoverflow много ерунды.

На самом деле, собирать с -fsanitize=address уже довольно неплохо, но, опять же, зачастую проблема в библиотеке, а не в собственном коде.

Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  +/
Сообщение от Аноним (33), 30-Окт-24, 08:16 
> Вы - тролль.

За словами следи, тролль. И прежде, чем лезть в stackoverflow и что-то тут комментировать, следует сначала разобраться в предметной области.

#include <stdio.h>
#include <stdlib.h>

#define FREE(ptr) do { \
        free(ptr); ptr = NULL; } while(0)

void f(int *ptr)
{
        FREE(ptr);
}

int main(void)
{
        int *p = malloc(sizeof(int));

        f(p);

        printf("%p\n", p);

        return 0;
}

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

23. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  +/
Сообщение от Аноним (23), 30-Окт-24, 03:06 
> "поможет ``free(ptr); ptr=NULL``, но не поможет ``#define Free(ptr) free(ptr);ptr=NULL``"
> ?

Поможет от чего именно? "в другом конце программы" так и останется предыдущее значение ptr. Или вообще, указатель на кусок освобожденной памяти (*ptr+сдвиг)...

Все эти "новомодные" RAII, smart-pointers, владения и времена жизни в "молодежных" ЯП-ах (как кучи ЯП с автоматической сборкой мусора) не от переизбытка смузи или неосиляния free(ptr);ptr=NULL придумали.

> по-моему, Вы пишете, не думая.

По-моему, кто-то хелловордщик.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

29. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  +/
Сообщение от Аноним (29), 30-Окт-24, 07:50 
std::shared_ptr не благодарите
Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  +/
Сообщение от Аноним (31), 30-Окт-24, 08:12 
std::unique_ptr сейчас
Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  +/
Сообщение от Аноним (29), 30-Окт-24, 07:52 
"системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH. "
иными словами ни в одном адекватно настроенном дистрибутиве проблемы нет.
Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление X.Org Server 21.1.14 с устранением уязвимости"  +/
Сообщение от Аноним (31), 30-Окт-24, 08:15 
Прокинуть X11 через SSH - это, всего-лишь, пожелание пользователя, независимо от дистрибутива.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру