The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Опасная уязвимость в X.Org, присутствующая с 1991 года"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от opennews (ok) on 08-Янв-14, 11:16 
В библиотеке libXfont, входящей в состав X.Org и используемой в X-сервере, обнаружена (http://lists.x.org/archives/xorg-announce/2014-January/00238...) опасная уязвимость (CVE-2013-6462), позволяющая организовать выполнение кода при обработке специально оформленного файла со шрифтом в формате BDF. Проблема была выявлена при проверке кода X.Org в статическом анализаторе cppcheck (http://cppcheck.sourceforge.net/) и связана с возможностью выхода за пределы выделенного буфера при наличии в BDF строк большого размера.


Проблему усугубляет то, что библиотека libXfont используется во всех вариантах X-серверов, в том числе том, что выполняется с правами пользователя root, что позволяет использовать данную уязвимость для повышения локальным пользователем своих привилегий в системе. Примечательно, что уязвимость появилась в кодовой базе ещё в мае 1991 года. Проблема исправлена (http://cgit.freedesktop.org/xorg/lib/libXfont/commit/?id=4d0...) в опубликованном (http://lists.x.org/archives/xorg-announce/2014-January/00238...) сегодня выпуске libXfont 1.4.7.

URL: http://lists.x.org/archives/xorg-announce/2014-January/00238...
Новость: http://www.opennet.dev/opennews/art.shtml?num=38809

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от AlexAT (ok) on 08-Янв-14, 11:16 
Ха. АНБ? :)

// Капитанствую насчёт того, что в любом софте вполне могут быть уязвимости, в т.ч. сознательно внедренные, остающиеся незамеченными десятки лет. //

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от Карбофос (ok) on 08-Янв-14, 14:21 
всё может быть, но сумлеваюсь. гораздо проще и надёжнее встраивать недокументированные возможности в железо.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

27. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +10 +/
Сообщение от mitiok (??) on 08-Янв-14, 15:14 
не только в железо, ещё в операционные системы с закрытым кодом.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от Карбофос (ok) on 08-Янв-14, 15:52 
ну это хоть как. особенно, если обфускацией все тёмные делишки прикрыть. хотя, фанатичные закрытофилы об этом любят помалкивать
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

33. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –4 +/
Сообщение от Аноним (??) on 08-Янв-14, 16:08 
>фанатичные закрытофилы

Не бывает таких. Бывают те, кро зарабатывают на закрытом и боятся угрозы...

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

57. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +3 +/
Сообщение от Карбофос (ok) on 08-Янв-14, 17:56 
ой ли!
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

64. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Аноним (??) on 08-Янв-14, 19:18 
> ой ли!

Ой. Представляешь, есть много на свете, что тебе тоже трудно представить.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

73. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Карбофос (ok) on 08-Янв-14, 20:09 
камменты к этой новости почитайте, благо - далеко ходить не надо, и соизвольте увидеть тех самых закрытофилов. сами в open source не участвуют, но зато неистово осуждают, да. одного из этих пришибков уже несколько раз здесь банили за неприкрытую ложь в стиле "get the facts".
p.s. если благородный Дон не является фанатом пропиретарщины, то это не значит, что оных нет.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

60. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Тот_Самый_Анонимус on 08-Янв-14, 18:38 
Как показала практика, продукты с открытым исходным кодом тоже весьма надёжны для всяких закладок. Надо просто умело делать вид, что уязвимость незаметна.

Это надо же: со времён Союза живёт. Уже и архитектуры процессоров сменились, и перефирия мощнее компов той давности, а уязвимость только сейчас отловили.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

71. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Ури on 08-Янв-14, 19:59 
Это в тему "открытый софт = безопасный софт".

Короче, следи за собой, будь осторожен, товарищ!

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

107. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от rshadow (ok) on 09-Янв-14, 10:11 
Безопасного софта не существует, как и безбажного. Но качество у открытого на порядок лучше. Тоже покапитанствую сегодня...
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

143. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –5 +/
Сообщение от Ури on 10-Янв-14, 00:24 
Это какое качество, то что у гимпа против фотошопа? Или опенофиса против мелкософтового? Или может открытые драйвера к видяхам круче блобов?
А, нет, я знаю - у блендера против макса! :)

Ох уж мне эти капитаны...

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

122. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от Led (ok) on 09-Янв-14, 14:39 
> Как показала практика

Это аргумент из твоей новой методички, табуретка?

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

136. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от Аноним (??) on 09-Янв-14, 17:56 
> Как показала практика, продукты с открытым исходным кодом тоже весьма надёжны для
> всяких закладок. Надо просто умело делать вид, что уязвимость незаметна.
> Это надо же: со времён Союза живёт. Уже и архитектуры процессоров сменились,
> и перефирия мощнее компов той давности, а уязвимость только сейчас отловили.

Примеры приведи, "перефир" ты наш просвещенный. Или заткнись.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

139. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от АНГЫВНАГЫНВАШЩ on 09-Янв-14, 18:38 
Просто этой части кода никто не касался, и BDF не пользовался.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –7 +/
Сообщение от Аноним (??) on 08-Янв-14, 11:17 
Xorg - зато с сетевой прозрачностью!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –27 +/
Сообщение от linux must _RIP__ on 08-Янв-14, 11:20 
это скорее о мифах open source..
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от alltiptop (ok) on 08-Янв-14, 11:27 
каких?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +24 +/
Сообщение от RazrFalcon email(ok) on 08-Янв-14, 11:34 
Миф?
Вы можете проприетарный продукт через cppcheck прогнать?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

124. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +4 +/
Сообщение от Led (ok) on 09-Янв-14, 14:40 
> Вы можете проприетарный продукт через cppcheck прогнать?

Он может только просто - прогнать, как и все опеннетовские MS-табуретки

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +14 +/
Сообщение от Аноним (??) on 08-Янв-14, 12:14 
В закрытом продукте вы бы:
а) вообще бы не узнали о такой уязвимости никогда
б) не сможете прогнать его ч/з cppcheck.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

39. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –17 +/
Сообщение от linux must _RIP__ on 08-Янв-14, 16:24 
1) ее там бы нашли раньше
2) есть много других статических анализаторов - качеством получше cppcheck.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору
Часть нити удалена модератором

84. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от Аноним (??) on 09-Янв-14, 01:45 
И откуда ты знаешь, что программа которой ты пользуешься так проверена. Вот Windows 7 или 8 твою так кто-нибудь проверял, у тебя пруфлинк на это есть?
Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

85. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +8 +/
Сообщение от Аноним (??) on 09-Янв-14, 01:54 
> в нормальных конторах - запуск статических анализаторов это не случайность как в xorg, а рутинный процесс - который выполняется раз в неделю.

Ты в скольки "нормальных конторах" работал, чтобы делать такие выводы обо всех?

Не смеши людей. Собирается, работает - вот и ладненько. А статические анализаторы и прочая хрень - это никому премию не увеличит. В проприетарщине люди работают не ради качества, а ради зарплаты.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

62. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +3 +/
Сообщение от Inome email(ok) on 08-Янв-14, 19:01 
И чем другие анализаторы в вашем случаи помогут вам анализировать бинарную программу ?
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

79. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от linux must _RIP__ on 08-Янв-14, 22:32 
> И чем другие анализаторы в вашем случаи помогут вам анализировать бинарную программу
> ?

стоит заглянуть на сайт коверти и посмотреть кто у них покупает лицензии. Видимо они все анализируют свой бинарный блоб..

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

99. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от inferrna (ok) on 09-Янв-14, 07:22 
Разовью подтухшую дискуссию. Если разраб знает о уязвимости, а остальные нет, то это бэкдор. Оставить или закрыть - дело его доброй воли. Если известные всем дыры в жабе и оффтопике не закрываются месяцами, а то и годами, значит это кому-нибудь нужно, кому-нибудь, кто знал о дырах заранее и согласование закрытия дыр с этим кем-нибудь суть долгая бюрократическая процедура.
С другой стороны, никто не мешает тебе, рандомному Васе Пупкину, воспользоваться платным проприерастным анализатором кода для поиска дыр в опенсорсном проекте. Фил зе дифференс.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

100. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от arisu (ok) on 09-Янв-14, 07:29 
> Если разраб знает о уязвимости, а остальные нет, то это бэкдор.

чёрт, тогда программы просто переполнены бэкдорами! особенно когда программист обнаружил ошибку, знает о ней, записал в TODO, но сразу не починил по каким-либо причинам.

сильное заявление, короче.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору
Часть нити удалена модератором

105. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от inferrna (ok) on 09-Янв-14, 09:47 
Тут согласен, но начал не я.
Ответить | Правка | Наверх | Cообщить модератору

106. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от Мяут (ok) on 09-Янв-14, 09:53 
> 1) ее там бы нашли раньше

Ее бы не нашли, а рассказали о ней нужным людям, а не писали на opennet.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

123. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от XoRe (ok) on 09-Янв-14, 14:40 
> 1) ее там бы нашли раньше

Oh yea, вспоминается дырка с использованием *.ani файлов.
Уязвимы были все системы, с Windows NT по Windows Vista.
http://www.phreedom.org/research/vulnerabilities/ani-header/

> 2) есть много других статических анализаторов - качеством получше cppcheck.

Ну с этим никто не спорит.
Они, по факту, есть :)

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

125. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +3 +/
Сообщение от Аноним (??) on 09-Янв-14, 14:43 
> 1) ее там бы нашли раньше
> 2) есть много других статических анализаторов - качеством получше cppcheck.

Даладна... Тебе напомнить "историю успеха" заплаток Майкрософта? И какими "веселыми" историями из реальной жизни все это сопровождалось? Ага, проверяют они там, анализируют в поте лица, щаз. Расскажи еще чего-нибудь.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

138. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +4 +/
Сообщение от AlexAT (ok) on 09-Янв-14, 18:01 
Угумс. Дыра в RPC (DCOM RPC) от обнаружения возможности DoS до заплатки - более 14 месяцев. В ответ на письма (сначала нормальные, потом - гневные, ибо студенты накропали массовый DoS'ер) мотивируют тем, что это только DoS, без эксплуатации - типа, закрывайте файрволом. Активный эксплоит - MS Blast (Blaster) - появился где-то месяце на 5-6... мсявным плевать, пока не перешло в эпидемию.

С дырой в LSASS почти то же самое. От обнаружения до заплатки - 5 месяцев, Sasser появляется на 3-м, и портит очень много крови.

А дальше через полтора года появляется семейство Pushdo/Cutwail, которое замечательно эксплоитит оба этих бага, и еще один новый в LSASS... ВНЕЗАПНО огромное количество систем всё еще уязвимо.

Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

61. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от Тот_Самый_Анонимус on 08-Янв-14, 18:40 
>В закрытом продукте вы бы:
>а) вообще бы не узнали о такой уязвимости никогда

Может или не может - трудно сказать. Я тоже могу так сказать: может там ещё более древняя и опасная уязвимость есть, и всплывёт лет через сорок. Обратного доказать у вас не выдет, как и у меня.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +5 +/
Сообщение от Аноним (??) on 08-Янв-14, 13:53 
> это скорее о мифах open source..

Если посмотреть на реалии а не мифы, то на открытом проекте я могу прогнать cppcheck, а на закрытом - фига. В результате есть причина полагать что в целом качество открытого кода имеет тенденцию быть выше. К тому же хреновый код просто стыдно выкладывать бывает, знаете ли.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

32. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Khariton (ok) on 08-Янв-14, 15:54 
>> это скорее о мифах open source..
> Если посмотреть на реалии а не мифы, то на открытом проекте я
> могу прогнать cppcheck, а на закрытом - фига. В результате есть
> причина полагать что в целом качество открытого кода имеет тенденцию быть
> выше. К тому же хреновый код просто стыдно выкладывать бывает, знаете
> ли.

и шиндошс тому пример!!!)))

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

40. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от chinarulezzz (ok) on 08-Янв-14, 16:27 
это лишь говорит о том, что у мс нет стыда и совести :-P
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

43. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от Khariton (ok) on 08-Янв-14, 16:32 
> это лишь говорит о том, что у мс нет стыда и совести
> :-P

бабло порождает зло!
заберите все бабло у мс и отдайте его гуглу и зло возродится там!

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

44. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от chinarulezzz (ok) on 08-Янв-14, 16:46 
>> это лишь говорит о том, что у мс нет стыда и совести
>> :-P
> бабло порождает зло!
> заберите все бабло у мс и отдайте его гуглу и зло возродится
> там!

жадность порождает зло :)

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

56. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Аноним (??) on 08-Янв-14, 17:54 
> и шиндошс тому пример!!!)))

Кстати, да. Одна из уязвимостей в Windows (проявлялась при загрузке wmf) была обнаружена после утечки кода.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

94. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +3 +/
Сообщение от arisu (ok) on 09-Янв-14, 04:28 
> была обнаружена после утечки кода.

была *обнародована* после утечки кода.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

46. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от pavlinux (ok) on 08-Янв-14, 16:59 
> В результате есть причина полагать что в целом качество открытого кода имеет тенденцию быть выше.

Это называется средняя температура по больнице - то есть любой содержит 2% багов.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

70. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Аноним (??) on 08-Янв-14, 19:50 
никто и не говорил за всех, если тебя не упомянули в списке людей которым стыдно показывать корявый код, то это не повод искать виноватых
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

82. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –4 +/
Сообщение от SergMarkov email(ok) on 09-Янв-14, 01:34 
>> это скорее о мифах open source..
> Если посмотреть на реалии а не мифы, то на открытом проекте я
> могу прогнать cppcheck, а на закрытом - фига. В результате есть
> причина полагать что в целом качество открытого кода имеет тенденцию быть
> выше.

Если код открыт,  то его проще использовать для всяких там нелицеприятных вещей. Попробуйте тоже самое сделать с кодом закрытым - затрат времени много больше. Авторы нуво блестящий пример - как не стараются реинженерить код нвидии, получается только .. :-)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

108. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от rshadow (ok) on 09-Янв-14, 10:20 
> Авторы нуво блестящий пример

Нуво отличнейший драйвер. Уже года 4 на нем, полет нормальный. Стим ос выйдет, тогда можно будет и о 3D задуматься...

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

129. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от Аноним (??) on 09-Янв-14, 14:54 
> Если код открыт,  то его проще использовать для всяких там нелицеприятных вещей.
> Попробуйте тоже самое сделать с кодом закрытым - затрат времени много больше.

Нужно рассказать это авторам миллионов вирусов для виндовз. А то мужики-то не знают, пишут себе и пишут...

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

26. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от хрюкотающий зелюк on 08-Янв-14, 15:07 
> Xorg - зато с сетевой прозрачностью!

чтоб дыры были сразу remote

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

51. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Куяврег on 08-Янв-14, 17:21 
>> Xorg - зато с сетевой прозрачностью!
> чтоб дыры были сразу remote

ssh -Y user@host 'firefox'

дыры ремотные, а вот ключик на ssh таки придётся искать, такие дела,  да.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

4. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от Омский линуксоид email(ok) on 08-Янв-14, 11:26 
Дайте удобные инструменты воспользоваться этой уязвимостью? а?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +7 +/
Сообщение от z (??) on 08-Янв-14, 11:37 
Скрипткиддисам - только за $$$$, извините
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

47. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +7 +/
Сообщение от pavlinux (ok) on 08-Янв-14, 17:11 
> Дайте удобные инструменты воспользоваться этой уязвимостью? а?

apt-get install gcc xorg-dev

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от www2 (ok) on 08-Янв-14, 11:43 
Надо бы ещё и шрифты в репозиториях проверить - а вдруг кто-то уже давно построил ботнет на Linux-десктопах ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –5 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 08-Янв-14, 12:32 
> libXfont

кто-то этим ещё пользуется? Все давно же закопали исковые шрифты.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Michael Shigorin email(ok) on 08-Янв-14, 13:02 
>> libXfont
> кто-то этим ещё пользуется? Все давно же закопали исковые шрифты.

Ну я.  Правда, там, где пользуюсь -- и так рутшелл на tty[2-4] болтается.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

48. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от pavlinux (ok) on 08-Янв-14, 17:13 
>> libXfont
> кто-то этим ещё пользуется? Все давно же закопали исковые шрифты.

Нукась, покаж непорезанный вывод

# lsof | grep libXfont

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

74. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от Аноним (??) on 08-Янв-14, 20:27 
$ lsof | grep libXfont
$
видимо никто.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

76. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от pavlinux (ok) on 08-Янв-14, 22:16 
Пичалька

"... библиотека libXfont используется во всех вариантах X-серверов, в том числе том, что выполняется с правами пользователя root ..."

От рута пускай lsof

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

97. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Аноним (??) on 09-Янв-14, 04:49 
действительно ошибочка
sudo lsof | grep -i libXfont
X         1711            root  mem       REG      253,4     221776    1183667 /usr/lib/libXfont.so.1.4.1
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

113. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от pavlinux (ok) on 09-Янв-14, 13:01 
В этом-то вся фигня. Грузилось бы не от рута, была бы не уязвимость, а просто баг.
Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

63. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от wulf (ok) on 08-Янв-14, 19:08 
> кто-то этим ещё пользуется? Все давно же закопали исковые шрифты.

Я ими пользуюсь. У них есть, как минимум, 2 киллер-фичи:

1. Независимость от костыля под названием "хинтинг"
2. Хорошие гарнитуры "adobe-helvetica" и "misc-fixed" почти "искаропки"

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

83. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –4 +/
Сообщение от SergMarkov email(ok) on 09-Янв-14, 01:35 
>> кто-то этим ещё пользуется? Все давно же закопали исковые шрифты.
> Я ими пользуюсь. У них есть, как минимум, 2 киллер-фичи:
> 1. Независимость от костыля под названием "хинтинг"

Независимость от хорошего отображения идет в комплекте :-)

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

115. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от wulf (ok) on 09-Янв-14, 13:29 
> Независимость от хорошего отображения идет в комплекте :-)

Гыыыыыыы. Сразу чувствуется человек ничего не видевший кроме размытых федор и убунт, косящих под макось.

Могу посоветовать сделать следующее:

1. Попросить Шигорина отсыпать чуток Альту. В нем в битовые шрифты, по крайней мере раньше,  были включены кириллические глифы для стандартных x-шрифтов, когда-то готовившиеся Болховитяновым для включения в на тот момент еще XFree, но так и не попавшие туда.
2. Левак под названием xorg-fonts-cyrillic категорически не ставить ни в коем случае
3. Настроить X-ы проглотить шрифты из п.1
4. Настроить gtk и qt на стандартные X-овые битовые Adobe Helvetica 12 pt в качестве пропорционального и misc-fixed в качестве моноширинного.
5. Позапускать различный софт, тихо прифигеть и понять что за последние 25 лет прогресса в шрифтах для пользовательских интерфейсов не наблюдалось.

P.S. Размытые символы в интерфейсах пользовательских программ я считаю шагом в сторону, а зависимость изображения глифа от фазы луны, что получается от применения хинтинга в векторных шрифтах - вообще багом.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

118. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от SergMarkov email(ok) on 09-Янв-14, 13:43 
Ностальгия по вшитым в ПЗУ шрифтам тоже идет в комплекте? :-)
Не надо считать шрифтовиков за идиотов - люди десятилетиями стараются сделать их лучше, чем битовая хренотень.
Helvetica хороший шрифт, но уже давно есть и получше
Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

130. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от wulf (ok) on 09-Янв-14, 14:55 
> Ностальгия по вшитым в ПЗУ шрифтам тоже идет в комплекте? :-)

Не идет. Есть, как минимум 4 фатальных недостатка, на примере VGA:
1. Только моноширинные с фиксированной шириной 9px
2. Только 3 размера в высоту, притом не самых удобных.
3. Только однобайтовые кодировки.
4. В массе своей сделаны людьми далекими от проектирования шрифтов

> Не надо считать шрифтовиков за идиотов - люди десятилетиями стараются сделать их
> лучше, чем битовая хренотень.

Я уже 2 раза написал область применения битовых шрифтов и почему они там лучше векторных. 3-й раз не буду, все-равно не дойдет.

> Helvetica хороший шрифт, но уже давно есть и получше

Абсолютно голословное утверждение. Для начала советую составить критерии для отбора шрифта для UI и потом уже выяснить какой-же лучше. Для затравки рекомендую подумать, почему всегда используются не оптимизированные для чтения шрифты, т.е. с засечками, а гротески. Ответ на этот вопрос и скажет, почему все шрифты для UI будут клонами Helvetica, а с уменьшением размеров символов будут от нее вообще неотличимы. Задача вписывания символа латиницы в знакоместо при ограничениях на количество пикселей и читаемость текста уже решена оптимально несколько десятков лет тому назад и, как показывает история, новых сильно отличающихся решений не предвидится.

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

140. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от SergMarkov email(ok) on 09-Янв-14, 19:49 
Я согласен только с одним - когда яббло изобретет мониторы SuperHertina c разрешением 20000*10000, то битовые шрифты будут иметь преимущества, но сейчас нет, и именно из-за недостатки техники, а вовсе не потому что они изначально корявые. Все эти методы улучшения придуманы только из-за недостатков техники, а не из-за недостатков самих шрифтов, но эти улучшалки бесполезно применять к битовым шрифтам и другой техники сейчас нет.
Ответить | Правка | ^ к родителю #130 | Наверх | Cообщить модератору

146. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Michael Shigorin email(ok) on 10-Янв-14, 05:33 
> Я согласен только с одним - когда [...] то битовые шрифты будут иметь преимущества

12x22 прекрасно смотрится на нынешних дисплеях достаточно высокого разрешения в качестве консольного шрифта, если что.  Это ещё сановские.

Ответить | Правка | ^ к родителю #140 | Наверх | Cообщить модератору

147. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от SergMarkov email(ok) on 10-Янв-14, 14:45 
>> Я согласен только с одним - когда [...] то битовые шрифты будут иметь преимущества
> 12x22 прекрасно смотрится на нынешних дисплеях достаточно высокого разрешения в качестве
> консольного шрифта, если что.  Это ещё сановские.

Консольного шрифта в голой консоли имеется ввиду? Может быть, откровенного говоря, я ее наблюдаю только при загрузке или когда запускаю сборку чего-то большого в  другой консоли. Вполне возможно, что битовые шрифты будут иметь свои преимущества на еще не созданных мониторах супервысокого разрешения. Но это будут уже совсем другие битовые шрифты.


Ответить | Правка | ^ к родителю #146 | Наверх | Cообщить модератору

154. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Michael Shigorin email(ok) on 11-Янв-14, 23:39 
> Консольного шрифта в голой консоли имеется ввиду?

Виноват, это было легче понять именно так.  Подразумевал "шрифта, используемого в графическом эмуляторе терминала".

Ответить | Правка | ^ к родителю #147 | Наверх | Cообщить модератору

156. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Led (ok) on 12-Янв-14, 00:51 
>> Я согласен только с одним - когда [...] то битовые шрифты будут иметь преимущества
> 12x22 прекрасно смотрится на нынешних дисплеях достаточно высокого разрешения в качестве
> консольного шрифта, если что.  Это ещё сановские.

О, так для таких как мы есть "fbcon=font:SUN12x22" в параметрах ядра. Для ядер (знаешь для каких) это изначально возможно было.

Ответить | Правка | ^ к родителю #146 | Наверх | Cообщить модератору

145. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Michael Shigorin email(ok) on 10-Янв-14, 05:31 
> 1. Попросить Шигорина отсыпать чуток Альту.

Совершенно излишне, можно взять и самому. :)

> В нем в битовые шрифты, по крайней мере раньше,  были включены кириллические глифы
> для стандартных x-шрифтов, когда-то готовившиеся Болховитяновым для включения
> в на тот момент еще XFree, но так и не попавшие туда.

http://packages.altlinux.org/ru/search?query=fonts-bitmap-cy...

> 3. Настроить X-ы проглотить шрифты из п.1

В альте сами.  Странно, почему-то не вижу rfx в дебиане.

> P.S. Размытые символы в интерфейсах пользовательских программ я считаю шагом в сторону

На эту тему знаю, что у разных людей глаза разные...

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

148. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от SergMarkov email(ok) on 10-Янв-14, 14:49 
>> 1. Попросить Шигорина отсыпать чуток Альту.
> Совершенно излишне, можно взять и самому. :)

Утянул fonts-bitmap-cyr_rfx-iso10646-0400
:-)
Классный в пакете список майнтейнеров..

Список всех майнтейнеров, принимавших участие
в данной и/или предыдущих сборках пакета:

ALT QA Team Robot

Alexey Dyachenko
Игорь Власенко

:-)

Ответить | Правка | ^ к родителю #145 | Наверх | Cообщить модератору

151. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от wulf (ok) on 10-Янв-14, 23:28 
> http://packages.altlinux.org/ru/search?query=fonts-bitmap-cy...

Михаил, Вы поражаете :-) Это называется "Угадал все буквы но не смог прочитать слово".
Конечно я имел ввиду шрифты cyr_rfx, но не в виде в котором их выложил автор, т.е. набора кириллических символов для iso10646-0400. В таком виде они присутствуют во многих дистрибутивах. Подразумевались то, что в альте их интегрировали непосредственно в стандартные x-овые шрифты, как это должно было бы случится в случае несостоявшегося вливания в XFree. Смотри набор патчей к http://packages.altlinux.org/ru/Sisyphus/srpms/fonts-bitmap-... . А вот этого уже в других дистрибутивах, насколько я знаю, нету :-)

Ответить | Правка | ^ к родителю #145 | Наверх | Cообщить модератору

152. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от wulf (ok) on 11-Янв-14, 00:48 
Чтобы не быть голословным, сделал скриншот с только битовыми шрифтами. На скриншоте wireshark (gtk2), virtualbox (qt4), urxvt (pure xlib). В фоне, правда, firefox с MS-овскими ttf-ами, но это я изменить не могу. 99,9% веба верстается именно под них.

http://postimg.org/image/v5ijoqjn1/full/

Ответить | Правка | ^ к родителю #151 | Наверх | Cообщить модератору

153. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от arisu (ok) on 11-Янв-14, 03:09 
в первый раз за долгое время вижу нормальные шрифты на скриншотах! а то я думал, у всех уже сопли мозг съели.
Ответить | Правка | ^ к родителю #152 | Наверх | Cообщить модератору

155. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Michael Shigorin email(ok) on 11-Янв-14, 23:42 
> Это называется "Угадал все буквы но не смог прочитать слово".

Так было удобнее сослаться на всю группу сразу :-)

> Подразумевались то, что в альте их интегрировали непосредственно в стандартные x-овые
> шрифты, как это должно было бы случится в случае несостоявшегося вливания в XFree.

А вот этого не знал, спасибо.  Может, добавите своей рукой к страничке http://www.altlinux.org/Features?

Ответить | Правка | ^ к родителю #151 | Наверх | Cообщить модератору

157. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от wulf (ok) on 12-Янв-14, 14:18 
> Может, добавите своей рукой к страничке http://www.altlinux.org/Features?

Оставляю эту честь Вам. Мне сначала надо проверить что эти патчи не только присутствуют, но и последовательно накладываются->компилируются->устанавливаются->регистрируются в xorg.conf->регистрируются в fontconfig.conf->отображаются. А желание устанавливать ALT только ради этого - отсутствует. 10 лет назад все было ОК, как сейчас - не знаю.
Вообще, если хочется узнать больше о происхождении этого "привета от BlackCat-а" можно почитать гномовский мэйллист https://mail.gnome.org/archives/gnome-cyr/2002-January/msg00...

Ответить | Правка | ^ к родителю #155 | Наверх | Cообщить модератору

158. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Michael Shigorin email(ok) on 15-Янв-14, 18:55 
>> Может, добавите своей рукой к страничке http://www.altlinux.org/Features?

Добрался, добавил; спасибо!

> Мне сначала надо проверить что эти патчи не только присутствуют, но и последовательно
> накладываются->компилируются->устанавливаются->
> регистрируются в xorg.conf->регистрируются в fontconfig.conf

Это видно и по пакету:
http://packages.altlinux.org/en/Sisyphus/srpms/fonts-bitmap-...
http://packages.altlinux.org/en/Sisyphus/srpms/fonts-bitmap-...

> ->отображаются.

Факт. :)

> А желание устанавливать ALT только ради этого - отсутствует.

Если что, то альт "на посмотреть" можно быстро взять по ссылкам с http://altlinux.org/regular и засунуть в виртуалку; на этих LiveCD работает и apt-get.

> https://mail.gnome.org/archives/gnome-cyr/2002-January/msg00...

(KOI8-R) М-ндя, узнаю Лёню.

Ответить | Правка | ^ к родителю #157 | Наверх | Cообщить модератору

95. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от arisu (ok) on 09-Янв-14, 04:29 
> Все давно же закопали исковые шрифты.

отучаемся говорить за всю сеть.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –2 +/
Сообщение от бедный буратино (ok) on 08-Янв-14, 12:44 
- бат вай?
- бат хау?

// английский юмор

в смысле, а как этим пользоваться? иксовые шрифты ставятся один раз, и на всю жизнь.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от Аноним (??) on 08-Янв-14, 13:56 
> в смысле, а как этим пользоваться? иксовые шрифты ставятся один раз,

А иксовый клиент свои шрифты подпихнуть может?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от pavel_simple (ok) on 08-Янв-14, 14:40 
man xset
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Аноним (??) on 08-Янв-14, 13:27 
Debian. Обновления пришли незадолго до прочтения этой новости.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Яйцассыром on 08-Янв-14, 14:13 
убунту. обновления шрифтов также недавно пришли
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

37. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от Michael Shigorin email(ok) on 08-Янв-14, 16:14 
> Debian. Обновления пришли незадолго до прочтения этой новости.

http://packages.altlinux.org/ru/Sisyphus/srpms/libXfont/chan... :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

38. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от Andrey Mitrofanov on 08-Янв-14, 16:19 
>> незадолго до прочтения этой новости.

"Опасная уязвимость в X.Org, присутствующая с 1991 года"     +/–     
Сообщение от opennews (ok) on 08-Янв-14, 11:16

(tz по всей видимости MSK)

>packages.altlinux.org/ru/Sisyphus/srpms/libXfont/changelog :)

Миша, а почему там (на странице) нет _времени_, а только дата? Если уж *наперегонки*, то и время с секундной скоростью, и тайм-зону. И не время чендж-лога, а время аплоада?

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

53. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от Michael Shigorin email(ok) on 08-Янв-14, 17:30 
>>packages.altlinux.org/ru/Sisyphus/srpms/libXfont/changelog :)
> Миша, а почему там (на странице) нет _времени_, а только дата?

Потому что таков формат rpm %changelog.

> Если уж *наперегонки*, то и время с секундной скоростью, и тайм-зону.

Наперегонки -- это к Шумахеру.

PS: в смысле это было "me too". :)

> И не время чендж-лога, а время аплоада?

http://git.altlinux.org/tasks/archive/done/_108/111475/logs/... (UTC)
https://bugzilla.altlinux.org/show_bug.cgi?id=19202

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

127. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Led (ok) on 09-Янв-14, 14:47 
> Наперегонки -- это к Шумахеру.

Нехорошо так говорить.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

58. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Аноним (??) on 08-Янв-14, 18:16 
угу. Только это нестабильная ветка, а в стабильной
Built: almost 2 years ago
http://packages.altlinux.org/en/p7/srpms/libXfont
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

59. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Аноним (??) on 08-Янв-14, 18:23 
в то время как в дебиан уже давно бэкпортировали исправление.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

90. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от Michael Shigorin email(ok) on 09-Янв-14, 02:59 
> угу. Только это нестабильная ветка, а в стабильной
> Built: almost 2 years ago

Угу -- завтра cas@ проверит и отправит, думаю.  Соответственно в репозитории послезавтра.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

92. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Аноним (??) on 09-Янв-14, 04:03 
он один проверяет?
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

98. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Michael Shigorin email(ok) on 09-Янв-14, 04:49 
> он один проверяет?

Перед пропуском в стабильный бранч -- скорее да.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

96. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от arisu (ok) on 09-Янв-14, 04:31 
> Debian. Обновления пришли незадолго до прочтения этой новости.

мы все с нетерпением ждали, пока ты нам это расскажешь.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от Аноним (??) on 08-Янв-14, 14:05 
Они первый раз что-ли cppcheck запустили?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от Аноним (??) on 08-Янв-14, 15:47 
Ну да а че
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

35. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Аноним (??) on 08-Янв-14, 16:12 
дауж это самое забавное
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

31. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –4 +/
Сообщение от iZEN (ok) on 08-Янв-14, 15:52 
Подтверждаю. Есть такое обновление: http://www.freshports.org/x11-fonts/libXfont/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +4 +/
Сообщение от Andrey Mitrofanov on 08-Янв-14, 16:11 
> Подтверждаю. Есть такое обновление: http://www.freshports.org/x11-fonts/libXfont/

Не-не-не, дэвид блейн. Твоим палёным портам мы верим ещё меньше, чем lists.x.org и git.fd.o. От тебя - ни коммита, ни ссылки! А то потом паники ядра начнём запретом версий джаввы "лечить". >/<

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

41. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от ip1981 (ok) on 08-Янв-14, 16:28 
libxfont (1:1.4.7-1) unstable; urgency=high

  * New upstream release
    + CVE-2013-6462: unlimited sscanf overflows stack buffer in
      bdfReadCharacters()
  * Don't put dbg symbols from the udeb in the dbg package.
  * dev package is no longer Multi-Arch: same (closes: #720026).
  * Disable support for connecting to a font server.  That code is horrible and
    full of holes.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от ip1981 (ok) on 08-Янв-14, 16:30 

-- Julien Cristau <jcristau@debian.org>  Tue, 07 Jan 2014 17:51:29 +0100
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

45. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от Andrey Mitrofanov on 08-Янв-14, 16:58 
> libxfont (1:1.4.7-1) unstable; urgency=high
>   * New upstream release
>     + CVE-2013-6462: unlimited sscanf overflows stack buffer in
>       bdfReadCharacters()
>   * Don't put dbg symbols from the udeb in the dbg package.
>   * dev package is no longer Multi-Arch: same (closes: #720026).
>   * Disable support for connecting to a font server. That code is horrible and
>     full of holes.

А вот и время [чендж-лога] до секунды с тайм-зоной!

+libxfont (1:1.4.7-1) unstable;
+ -- Julien Cristau <jcristau@debian.org>  Tue, 07 Jan 2014 17:51:29 +0100

20:51:29 по MSK

---- Желающие посоресноваться могут заглянуть сюда:
https://security-tracker.debian.org/tracker/CVE-2013-6462

В забеге участвуют версии squeeze =oldstable (security) и wheezy =stable (security) от 26 декабря.


+libxfont (1:1.4.1-4) squeeze-security; urgency=high
+  * unlimited sscanf can overflow stack buffer in bdfReadCharacters()
+ -- Julien Cristau <jcristau@debian.org>  Thu, 26 Dec 2013 21:36:57 +0100

+libxfont (1:1.4.5-3) wheezy-security; urgency=high
+  * unlimited sscanf can overflow stack buffer in bdfReadCharacters()
+ -- Julien Cristau <jcristau@debian.org>  Thu, 26 Dec 2013 21:54:48 +0100


author    Alan Coopersmith <alan.coopersmith@oracle.com>    2013-12-24 02:34:02 (GMT)
committer    Alan Coopersmith <alan.coopersmith@oracle.com>    2013-12-31 02:09:45 (GMT)

Дебиановский патч ссылается аж на 17ое сентября

+From b07483b605e77ea475b97d5dc829a7d5eb10a5d6 Mon Sep 17 00:00:00 2001
+From: Alan Coopersmith <alan.coopersmith@oracle.com>
+Date: Mon, 23 Dec 2013 18:34:02 -0800

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

52. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от pavlinux (ok) on 08-Янв-14, 17:26 
$ find /usr/share/fonts -name \*.[bB][dD][fF]
$

Опа, опа, ганг-гам-стайл...  

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

54. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от Andrey Mitrofanov on 08-Янв-14, 17:32 
>Как жить, Митрофаныч?!

проспись, завтра на работу.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

55. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –2 +/
Сообщение от pavlinux (ok) on 08-Янв-14, 17:41 
>>Как жить, Митрофаныч?!
> проспись, завтра на работу.

/tmp/libXfont-1.4.7/src > make
...

CC       dirfile.lo
dirfile.c: In function 'FontFileReadDirectory':
dirfile.c:117:2: warning: format not a string literal, argument types not checked [-Wformat-nonliteral]


113 if (format[0] == '\0')
114            sprintf(format, "%%%ds %%%d[^\n]\n",
115                MAXFONTFILENAMELEN-1, MAXFONTNAMELEN-1);
116
117        while ((count = fscanf(file, format, file_name, font_name)) != EOF) {

Чо, ещо одна бага?!! :D

Шлангу тоже не понравилось


dirfile.c:117:31: warning: format string is not a string literal [-Wformat-nonliteral]
        while ((count = fscanf(file, format, file_name, font_name)) != EOF) {
                                     ^~~~~~
  CC       ftenc.lo
ftenc.c:90:33: warning: variable 'reg' is uninitialized when used here [-Wuninitialized]
        if(strlen(enc) + strlen(reg) > 18)
                                ^~~
ftenc.c:71:26: note: initialize the variable 'reg' to silence this warning
    const char *enc, *reg;
                         ^
                          = NULL
ftenc.c:90:19: warning: variable 'enc' is uninitialized when used here [-Wuninitialized]
        if(strlen(enc) + strlen(reg) > 18)
                  ^~~
ftenc.c:71:20: note: initialize the variable 'enc' to silence this warning
    const char *enc, *reg;
                   ^
                    = NULL
2 warnings generated.
  CC       pcfread.lo
pcfread.c:490:21: warning: comparison of unsigned expression < 0 is always false [-Wtautological-compare]
        if (bitmapSizes[i] < 0) goto Bail;
            ~~~~~~~~~~~~~~ ^ ~
1 warning generated.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

69. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Vkni (ok) on 08-Янв-14, 19:46 
С ужасом думаю, что же обнаружится, если прогнать через PVS. :-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от Ури on 08-Янв-14, 20:04 
Ты что, pvs же проприетарщина! Только открытый софт.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

75. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Vkni (ok) on 08-Янв-14, 20:50 
> Ты что, pvs же проприетарщина! Только открытый софт.

PVS просто дико неудобна для проверки X'ов. Именно из-за того, что код PVS закрыт.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

77. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –3 +/
Сообщение от pavlinux (ok) on 08-Янв-14, 22:19 
В общем, я сделал по злому :)

$ ./configure --disable-bdfformat --prefix=/usr --libdir=/usr/lib64; make; make install;

Ну а чё, ни одного BDF шрифта не нашёл, накой хрен оно нужно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

80. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +2 +/
Сообщение от Аноним (??) on 09-Янв-14, 00:49 
> $ ./configure --disable-bdfformat --prefix=/usr --libdir=/usr/lib64; make; make install;

Это че? На зло маме отморо^W^W^W поставил LFS?

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

86. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –3 +/
Сообщение от pavlinux (ok) on 09-Янв-14, 02:09 
Ну а фигли, к тому же оптимизация под мой проц.  
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

91. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от Sylvia (ok) on 09-Янв-14, 03:31 
в гентах если что тоже обновили ;D зачем же лфсничать
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

93. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от Аноним (??) on 09-Янв-14, 04:08 
мяу
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

112. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –2 +/
Сообщение от pavlinux (ok) on 09-Янв-14, 12:57 
Зато ещё 4 варнинга закрыл (см. выше)
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

87. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –1 +/
Сообщение от Аноним (??) on 09-Янв-14, 02:36 
Мда, проблемка-то старше меня и подовляющего большинства остальных анонимусов здеся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

116. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –3 +/
Сообщение от linux must _RIP__ on 09-Янв-14, 13:31 
1. Многочисленные уязвимости безопасности в ядре Linux
  http://securityvulns.ru/news/Linux/kernel/1401.html
  Опубликовано: 8 января 2014 г.
  Источник:     BUGTRAQ
  Тип:          библиотека
  Опасность:    9
  Описание:     Утечка информации в ptrace, повышение привилегий через функции
                 отладки, слабый PRNG генератор в cprng, DoS в сетевом
                 функционале, многочисленные целочисленные переполнения,
                 переполнения буфера в драйверах USB, WiMax и других
                 устройств, кратковременные условия в реализации shared
                 memory, неиницилизированная память в UDP fragmentation
                 offload.
  Продукты:     LINUX: kernel 2.6
                LINUX: kernel 3.11
                LINUX: kernel 3.12
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

128. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Led (ok) on 09-Янв-14, 14:52 
Многочисленные высеры MS-табуретки, вызванные хроническим батхэртом.
Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

131. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Аноним (??) on 09-Янв-14, 15:28 
> http://securityvulns.ru/news/Linux/kernel/1401.html

Внимательно читаем до конца.
Оригинальный текст: http://securityvulns.ru/docs30152.html

"The problem can be corrected by updating your system to the following
package versions:

Ubuntu 13.10:
linux-image-3.11.0-15-generic   3.11.0-15.23
linux-image-3.11.0-15-generic-lpae  3.11.0-15.23"

Усё. Закрыто.
Поищи еще чего-нибудь. :)

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

134. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +/
Сообщение от Аноним (??) on 09-Янв-14, 17:26 
Вы процитировали http://www.ubuntu.com/usn/usn-2075-1/

Это сборное обновление к пакету с ядром из состава Ubuntu 13.10, там собраны дыры за несколько месяцев. Например, CVE-2013-2929 поправлена ещё в апреле прошлого года. Все уязвимости минорные (в secunia им присвоен минимальный уровень опасности), т.е. в лучшем случае DoS или возможность получить значения пары байт памяти ядра. Поэтому для пакета их так много накопили, так как нет смысла без повода дергать пользователей ребутить систему.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

142. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от pavlinux (ok) on 09-Янв-14, 22:13 
> 1. Многочисленные уязвимости безопасности в ядре Linux
>   http://securityvulns.ru/news/Linux/kernel/1401.html
>   Опубликовано: 8 января 2014 г.
>   Источник:     BUGTRAQ

Баян! Пока вы там бухали!

http://www.opennet.dev/opennews/art.shtml?num=38768#48

> Описание:  

IPIP - юзают все! ,
UDP_CORK - если найдёшь софт где оно ваще есть.
Alchemy LCD frame-buffer drivers - в каждом доме
WiMax - так ваще у каждого.
AACRAID - как же без него.
Ну и конечно же PTRACE на IA64


> неиницилизированная память в UDP fragmentation offload.

Пля, пичаль. У меня юзается патчик который спецом отрубает инициализацию памяти.  

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

132. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  –5 +/
Сообщение от iZEN (ok) on 09-Янв-14, 15:31 
Нате вам: http://media.ccc.de/browse/congress/2013/30C3_-_5499_-_en_-_...
- "In the past couple of months I've found 120 bugs there, and I'm not close to done."

Обсуждение: http://www.rsdn.ru/forum/flame.comp/5422197.all

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

133. "Опасная уязвимость в X.Org, присутствующая с 1991 года"  +1 +/
Сообщение от Карбофос (ok) on 09-Янв-14, 16:37 
умиляют камменты всяких баранов, которые никогда не использовали, или почти не использовали cppcheck. у этой утилиты может быть множество ложных срабатываний. например, если инициализация структуры выносится в отдельную подпрограмму. и некоторые другие тонкости. зато такие "спецы" начинают сразу разводить словесный понос, важно почёсывая своё ЧСВ
Ответить | Правка | ^ к родителю #132 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру