| |
| |
| 3.7, Анонима (?), 02:12, 12/05/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
смысл не в патчинге (что само по себе хорошо - некоторые даже не патчат годами), а в том, чтобы рассказать сообществу, что данная ошибка опасна.
| | |
| |
| 4.12, pavlinux (ok), 04:22, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
Любая ошибка опасная. Была такая давно, перепутали местами ассемблерные инструкции CLI и STI
Не помню точно что было, то ли два раза разрешили прерывания, то ли два раза запретили...
Вроде отметили как НЕ влияющая на безопасность, но вполне приводящая к зависону.
Так вот, время на объяснение как всё это работает ни у кого нет,
время на генерацию руткитов - тоже. Вариантов руткитов можно придумать массу, относительно
cli/sti-bug, например в спаять вражеское PCI устройство, и выполнять свои действия в не защищенной памяти ядра.
И что по-вашему, они обязаны все это рассказывать, как работает, как можно хакнуть...
Обнаружили-пофиксили-отписались
Тоже была одна бага, по моему на 2.6.20, после разархивирования ядра, каталоги и файлы в них были с правами 660 - как говориться, залезай, исправляй, бэкдоры засажывай...
Кто должен следить за правами на Вашем компе??? Торвальдс чтоля?
Ему ваще пофиг - сделал бы 777 и делайте сами как надо.
| | |
| |
| 5.22, szh (ok), 10:03, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> Обнаружили-пофиксили-отписались
Не отписались.
> Так вот, время на объяснение как всё это работает ни у кого нет,
никто не просил обьяснений как это всё работает.
> время на генерацию руткитов - тоже.
Всегда есть время у тех кому это надо.
Весь остальной твой текст - оффтопик эмоций.
| | |
|
|
| 3.15, User294 (??), 07:26, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>А ты неюзай вражеские FS, проснулся... 2.6.29.3 уж на дворе :
А как FS и какие-то там ядра вообще относятся к панге?Панга - кроссплатформенная либа, которая есть в куче всяких мест и без всяких линуксовых ядер.
| | |
|
| 2.13, User294 (??), 07:21, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Думаю, это начало конца.
Это что, просьба проспонсировать веревку и мыло? oO
> Linux 2009 == Microsoft 2002
А при чем тут линукс? Эта либа используется в огромной куче систем. В *вашей* скорее всего она тоже есть. Хотя если вы только в консольке сидите - тогда может и нет за ненадобностью. А так - используется кучей программ в разных системах. К линуксу эта либа привязана не более чем например zlib.
| | |
|
| 1.3, кдпзу (?), 01:22, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
//некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения исправленной версии
спасибо, это нам уже знакомо
| | |
| |
| 2.16, User294 (??), 07:29, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>спасибо, это нам уже знакомо
Ну вы можете поставить себе например антикварный zlib а мы вас сплойтом жахнем.Не хотите?И кстати куда предлагаете бежать?Обратно на проприетарщину?Или сидеть в MS-DOS?А то это панго используется такой кучей программ что найти систему с гуем где оно бы не использовалось - еще постараться надо.
| | |
| |
| 3.20, Аноним (-), 08:41, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> А то это панго используется такой кучей программ
Не так уж и много таких программ.
| | |
| |
| 4.33, User294 (??), 22:05, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Не так уж и много таких программ.
Хаксорам в принципе хватит одной.Уже забыли что было с zlib?Я знаю немало случаев взлома [чего угодно] на разных системах через дырявый zlib.Особенно "здорово" было ессно виндузятникам где все проги таскают с собой zlib'у самолично а потому никто ее в половине софта ессно не заапдейтил, так что наверное и по сей день в виндах можно кучу софта с древней злибой сплойтом отоварить если задаться целью.
| | |
|
|
| 2.21, uldus (ok), 08:56, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>//некоторое время об уязвимости не сообщалось, чтобы выиграть время на широкое распространения
>исправленной версии
>
>спасибо, это нам уже знакомо
Не путайте с ситуацией, когда о дыре уже давно раструбили в неофициальных рассылках безопасности, но разработчики дырявой программы ее скрывают или представляют как незначительную, или когда нашедший дыру натыкается на высокомерие и игнорирование со стороны разработчиков. В случае с Pango о проблеме не знал никто посторонний, только тот кто нашел дыру и разработчики библиотеки.
| | |
| |
| 3.36, AlexanderYT (?), 13:38, 13/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
 > В случае с Pango о проблеме не знал никто
>посторонний, только тот кто нашел дыру и разработчики библиотеки.
свечку держали?)
| | |
| |
| 4.38, uldus (ok), 14:08, 13/05/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> В случае с Pango о проблеме не знал никто
>>посторонний, только тот кто нашел дыру и разработчики библиотеки.
>
>свечку держали?)
Вы не верите слову Will Drewry из Google Security Team ?
| | |
|
|
|
| 1.8, Аноним (-), 02:36, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Я вот такой наивный, но кто мне может объяснить, почему нельзя говорить об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец в области безопасности, ты эту уязвимость найдёшь, в противном случаи - ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления. Не дело конечно, объявлять почти через месяц после обнаружения (а тут даже после исправления) об уязвимости, но и не дело выдавать почти всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для хранения глифов).
| | |
| |
| 2.9, Аноним (-), 02:41, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
С месяцем конечно же ошибся, не так новость прочитал, но сути это не меняет
| | |
| 2.10, Logo (ok), 02:51, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена
>уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё
>равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец
>в области безопасности, ты эту уязвимость найдёшь, в противном случаи -
>ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя
>не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления.
>Не дело конечно, объявлять почти через месяц после обнаружения (а тут
>даже после исправления) об уязвимости, но и не дело выдавать почти
>всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для
>хранения глифов).
Видимо не говорили, так, как постоянно встречались непонятные ситуации с разными программами под GTK и одного намека было бы достаточно, где копать. Я только сейчас и понял, почему у меня разработки под GTK глючили. Под QT работает, под GTK-2 сбоит, пока не перешел на Mandriva 2009.1, а в ней Pango 1.24.1. Все нормально. Я считаю, что верно поступили, мгло бы быть очень плохо.
| | |
| 2.27, zuborg (?), 11:08, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
 >[оверквотинг удален]
>об уязвимостях, не раскрывая детали? Скажем так, в версии x.y.z найдена
>уязвимость, просьба обновится до версии x.y.z+1 или подождать немного и всё
>равно обновится до x.y.z+1. Ну и всё. Если ты отличный спец
>в области безопасности, ты эту уязвимость найдёшь, в противном случаи -
>ты немного заблуждаешься о своём уровне подготовки, и, мягко говоря, тебя
>не должно волновать происшествие, только лишь вопрос о скорости выпуска обновления.
>Не дело конечно, объявлять почти через месяц после обнаружения (а тут
>даже после исправления) об уязвимости, но и не дело выдавать почти
>всё на блюдечке (целочисленное переполнение при расчете размера памяти, выделяемой для
>хранения глифов).
Нет смысла просто. В мире opensource практически невозможно скрыть информацию о месте и виде исправления - эта информация буквально в открытом виде лежит внутри патча (если патча нет то можно проанализировать diff старой и новой версии). Даже бинарные заплатки Microsoft-а умудряются анализировать и реализовали метод автоматической! генерации експлойтов для исправляемых уязвимостей.
| | |
| |
| 3.31, Аноним (-), 15:09, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Нет смысла просто.
и
>внутри патча (если патча нет то можно проанализировать diff старой и новой версии
Взаимоисключающие параграфы. Когда есть дифф - есть обновлённая версия, где этой уязвимости уже нет, кто не обновился, то сам себе злобная длинноносая деревянная кукла.
| | |
|
|
| 1.11, Eugeni (??), 04:18, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это вообщето нормальная практика для уязвимостей (гуглим на тему oss-security embargo date).
| | |
| |
| 2.17, User294 (??), 07:35, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Это вообщето нормальная практика для уязвимостей (гуглим на тему oss-security embargo date).
Это достаточно нормальная практика для критичных уязвимостей в кроссплатформенной либе которая настолько широко используется что есть в весьма многих системах(много кроссплатформенного софта под разными ОС юзает эту либу т.к. она умеет дофига всего).Было бы лучше если бы школьники начали глушить 0-day сплойтами все вокруг?Хуже от того что уязвимость придержали разве что таким вот школьникам - найти дыру и сплойт сделать им самим слабо.Вот наверное и бухтят - халявы для них не вышло, видите ли.Хотя сам факт что есть дыра без указания деталей можно было бы и сообщить вообще-то.
| | |
|
| 1.23, Alen (??), 10:28, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
#emerge --sync;emerge -pv pango
These are the packages that would be merged, in order:
Calculating dependencies... done!
[ebuild R ] x11-libs/pango-1.22.4 USE="X -debug -doc" 0 kB
Бесполезно - пока гром не грянет никто креститься не будет! :)
в стабильной ветке дырявая панга :)
По этому сообщения об отверстиях, имхо, надо выкладывать сразу после появления
фиксеной версии и никого более не ждать.
| | |
| 1.29, Loafer (ok), 12:20, 12/05/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хе, чуть что не так, так сразу "а причём здесь Linux" и глазки такие красненькие смотрят как на новые ворота :)
| | |
| |
| 2.30, Alen (??), 13:06, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
pango-1.24.1 (04 May 2009)
Нет, в portage, ebuild с фиксеной версией появился еще 4 мая, только
что то тянут с переводом в стабильную ветку.
ЗЫ а по поводу красных глаз, на зеркало обижайтесь :)
| | |
| |
| 3.35, User294 (??), 08:24, 13/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>что то тянут с переводом в стабильную ветку.
А банальные убунтуйцы опять все вовремя заапдейтили и юзерам раздали...
| | |
|
| 2.34, User294 (??), 22:11, 12/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Хе, чуть что не так, так сразу "а причём здесь Linux"
А линуксы сами по себе никак не относятся к сторонним библиотекам.А хотя-бы и популярным настолько чтобы нередко встречаться в оных.
И кстати виндузятникам как всегда хуже всех придется.В пингвине мне апдейтер заменит одну либу, качнув небольшой пакет только с этой либой и все.А вот в винде придется искать ВСЕ юзающие эту либу проги САМОЛИЧНО! И опять же САМОЛИЧНО их все апдейтить, надеясь что их авторы не дятлы и проапдейтили используемую либу в новых версиях программ...
В итоге - пингвины и прочие подобные с нормальными системами управления пакетами на голову впереди "прогрессивного" человечества типа виндузятников.Ну вон MS попытался содрать su+sudo в виде UAC.Получилось хреново, хоть и приподняло безопасность.Лет через 10 наверное попытаются и свои репы поднять.Как всегда - горбато и убого, с массой ограничений, неудобств и бестолковостей, разумеется.
| | |
| |
| 3.37, AlexanderYT (?), 13:46, 13/05/2009 [^] [^^] [^^^] [ответить]
| +/– |
Вообще говоря, можно сказать Лисе не использовать pango. Что собственно у меня и сделано, т.к. после этого Лиса по шустрее будет.
| | |
| |
| 4.40, User294 (??), 17:17, 15/05/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Вообще говоря, можно сказать Лисе не использовать pango
Я думаю что далеко не только лис оной пользуется.В зависимостях пакетов сия либа светится часто и много ;)
| | |
|
|
|
|
