The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В X-сервере отключена обработка запросов от клиентов с иным порядком байтов

09.01.2023 15:03

В кодовую базу сервера X.org и DDX-компонента Xwayland принято изменение, по умолчанию блокирующее подключение клиентов с систем, имеющих иной порядок байтов. В качестве причины называется наличие потенциальных проблем с безопасностью в коде преобразования порядка байтов, который недостаточно протестирован и может оказаться слабым местом при организации атак на систему. При этом на практике преобразование порядка байтов последнее время используется крайне редко, так как рабочие станции на которых запускается X-сервер, как правило, оснащены процессорами с порядком байтов little-endian (от младшего к старшему байту), и подключение к ним X-клиентов с порядком big-endian, таких как  платформа s390x (IBM zSystems), является большой редкостью.

Таким образом, решено, что более целесообразно отключить по умолчанию не нужную в 99% случаев обработку клиентов c иным порядком байтов, но повысить общую защищённость X-сервера. Для пользователей, которым подобное преобразование необходимо, добавлены параметр конфигурации "AllowByteSwappedClients" и опция командной строки "+byteswappedclients", позволяющие вернуть старое поведение. Изменение войдёт в состав следующих значительных выпусков X.org Server и Xwayland, но так как никаких планов по их формированию пока нет, разработчикам пакетов в дистрибутивах рекомендовано перенести изменение в актуальные пакеты с X.org Server и Xwayland (например, изменение будет применено в Fedora Linux 38).

  1. Главная ссылка к новости (https://who-t.blogspot.com/202...)
  2. OpenNews: Рассматривается возможность прекращения в GTK5 поддержки X11
  3. OpenNews: Выпуск XWayland 22.1.0, компонента для запуска X11-приложений в Wayland-окружениях
  4. OpenNews: Уязвимости в X.Org Server
  5. OpenNews: Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранением 6 уязвимостей
  6. OpenNews: Активность в разработке сервера X.org достигла минимума с 2003 года
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58453-x.org
Ключевые слова: x.org, x11
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (84) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:26, 09/01/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –4 +/
     

     ....ответы скрыты (2)

  • 1.2, Аноним (2), 15:28, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    наконец-то догадались, что уж в сетевом-то протоколе порядок байтов должен быть указан явно, на уровне спецификации протокола. Устранили очередную свинью, заботливо подложенную дидами.
     
     
  • 2.9, Аноним (9), 15:37, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А вы про какой сетевой уровень утверждаете?
     
     
  • 3.20, Аноним (20), 15:51, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А на каком уровне работает хваленый сетевой протокол иксов?
     
     
  • 4.45, Аноним (45), 17:55, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    На application layer
    и.о. К.О.
     
     
  • 5.73, Бывалый смузихлёб (?), 08:55, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > и.о. К.О.

    Подскажите пожалуйста, когда сам г.-н К.О вернётся к исполнению обязанностей

     
     
  • 6.75, КО (?), 09:42, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда захочет.
     
  • 5.90, ivan_erohin (?), 13:14, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > На application layer

    допустим.
    а когда X идет через ssh port forwarding (было модно лет 15 назад) - какой получается уровень ?

     
  • 2.23, Совершенно другой аноним (?), 15:54, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Порядок байт передаётся в протоколе, в запросе клиента на установление соединения. Т.е. клиент говорит - у меня маленькие индейцы, а сервер делает по этому поводу какие-то выводы. Не понятно чем то, что они сделали сейчас поможет, тем-более, что по факту всё осталось как было, только теперь ещё спец настройку анализируют, и если её нет - ругаются. В общем очень странное изменение.
     
     
  • 3.47, Аноним (45), 18:03, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Просто любители смузи, возомнившие себя разработчиками, не понимают что за индейцы такие и зачем их анализировать, вот и делают бесполезные настройки тормозящие код.
     
  • 2.24, another_one (ok), 15:57, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > наконец-то догадались, что уж в сетевом-то протоколе порядок байтов должен быть указан явно

    Ага, но дело в том, что network byte order обычно big-endian, а не little.

     
     
  • 3.31, Аноним (20), 16:36, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > network byte order
    > network

    Ага, но дело в том, что хваленым сетевым протоколом иксов обычно пользуются через юникс-сокет.

     
     
  • 4.50, Аноним (50), 18:17, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сетевым протоколом иксов на удалённых тачках? Ты уверен? Потому что основное применение, которое я вижу, это именно подключение на большие big endian тачки с маленьких little endian. Вобще какая-то странная предъява. Весь софт поддерживает оба варианты, и тут карманные крысы IBM (это у которого ПРОЦЕССОРЫ тоже поддерживают оба варианта) говорят, не, давайте закопаем, а то больно тяжело поддерживать.
     
  • 3.63, Аноним (63), 23:42, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Потому что когда в 80-х в Беркли это всё придумывали, у них были big endian машины.
    Прошло 40 лет, 99% CPU little endian, но всё ещё переставляем байтики для сетей местами, потому что так исторически сложилось.
     
  • 3.78, Аноним (78), 10:22, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Такого понятия как "network byte order" не существует, просто народ конвертит в BE, а потом обратно, потому что им на первом курсе так сказали делать.
     
  • 3.87, Ванёк (?), 19:04, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сетевая карта без понятия о "network byte order", массив байтов передаёт друг за другом и на этом всё. Не надо ничего никуда конвертировать без надобности.
     
  • 2.30, pashev.ru (?), 16:36, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > в сетевом-то протоколе порядок байтов должен быть указан явно, на уровне спецификации протокола

    Так он указан. По крайней мере в TCP/IP.

     
     
  • 3.35, Аноним (20), 16:42, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да хоть на заборе. Сетевой протокол иксов в 99% случаев обходится без inet-стека.
     
     
  • 4.69, Антоннн (?), 08:08, 10/01/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 5.77, Аноним (20), 09:52, 10/01/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.44, Аноним (45), 17:53, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Уточните пожалуйста какой порядок байт указан в спецификации http?
     
     
  • 3.54, Аноним (54), 19:05, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    какой тебе порядок байтов в текстовом протоколе?
     
     
  • 4.62, ip1982 (ok), 23:41, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    8-битное поколение!
     

  • 1.3, freecoder (ok), 15:31, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "Нет функционала - нет проблем (с безопасностью)!"
     
     
  • 2.12, Аноним (12), 15:43, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Правило, в первую очередь, справедливое для Wayland.
     
  • 2.71, Аноним (45), 08:27, 10/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 3.81, freecoder (ok), 14:02, 10/01/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (3)

  • 1.4, Аноним (4), 15:34, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    О нет! Как же я буду коннектиться с моего новенького s390???
     
     
  • 2.7, 1 (??), 15:36, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Придётся апгрейтиться до z/390
     
  • 2.10, Омномним (?), 15:38, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё с рядом армов и мипсов может не получиться, там может внезапно оказаться big endian.
     
     
  • 3.15, Аноним (12), 15:45, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А дистры для одноплатников на AArch64 с каким endianing собираются?
     
     
  • 4.32, Деанон (?), 16:37, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    LE. Но дело не в этом, а в том, что в сетевых протоколах часто идет BE.
     
     
  • 5.46, Аноним (12), 17:57, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    BE обязателен в заголовках канального, сетевого, транспортного уровней. А payload уже может быть по желанию вышележащих протоколов.
     
  • 4.34, yet another anonymous (?), 16:39, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе могут с любым, но на практике --- LE.
     
  • 3.19, Аноним (12), 15:50, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Придётся колхозить прокси, преобразующий big <---> little.
     
     
  • 4.49, Омномним (?), 18:10, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем? Про параметр правильно заметили. Просто "на страх и риск".
     
  • 3.33, pashev.ru (?), 16:38, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы слабоумные, новость про новый параметр, а не про удоление а-ля гном
     
     
  • 4.48, Омномним (?), 18:09, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Параметр из разряда "use at your own risk", такие дела.
     
  • 2.16, Аноним (16), 15:46, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Используй параметр конфигурации "AllowByteSwappedClients", это же очевидно.
     

  • 1.6, Аноним (9), 15:36, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Какой-то бред. Если клиент с другим порядком байтов не подключается, то каким образом повышается безопасность. А если кто-то все таки пытается подключиться, то ему плевать, что он входит в 1%. Когда у клиента вообще не работает - это супер безопасно, да
     
     
  • 2.8, 1 (??), 15:37, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это практически про 1% пользователей Linux
     
  • 2.18, Аноним (16), 15:47, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Обслуживаются только правильные клиенты!
     
  • 2.43, Аноним (45), 17:50, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Современные разработчики даже не понимают какой бренд пишут.
    Перед разработкой очередного изменения им надо проконсультироваться на опеннет
     
     
  • 3.94, Аноним (94), 19:43, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Современные разработчики даже не понимают какой бренд пишут

    вот так появляются вейленды, расты, пульсы, системды...

     
  • 2.57, Аноним (57), 20:57, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Если клиент с другим порядком байтов не подключается, то каким образом повышается безопасность

    Вот так и повышается. Нет клиента - нет проблемы. Есть клиент - ну значит надо придумать повод, чтобы его послать подальше. Так безопасность и улучшается. Если клиент не здоровенный лицо с другим порядком байт, который сначала и по морде за такую дискриминацию по порядку байт дать может, а потом и в суде.

     

  • 1.21, iPony129412 (?), 15:52, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Выкидывать давно надо. Устаревшее.
     
     
  • 2.38, Аноним (38), 16:59, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На этот раз айПони высказался правильно, заслуживает два чая
     
  • 2.58, Аноним (58), 21:36, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    iPony устарел...
     

  • 1.22, Аноним (22), 15:52, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вот, а я пользовался!
     
     
  • 2.25, Anonim (??), 16:04, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не провоцируйте , а то начнут воображать - каким способом . И припишут вам пропаганду нетрадиционного .
     
  • 2.29, Аноним (29), 16:28, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пересобирай иксы, машина у тебя мощная справится.
     

  • 1.26, Аноним (26), 16:07, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И никакой вейланд не нужен. Могут же, если захотят!
     
     
  • 2.27, Аноним (27), 16:24, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Да Wayland был не нужен вне зависимости от...
     
     
  • 3.70, Илья (??), 08:18, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Собака лает, караван идёт
     
     
  • 4.76, Аноним (76), 09:47, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да всё никак не дойдёт.
     
     
  • 5.80, Аноним (80), 11:33, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Моисей его ведёт.
     
  • 4.84, Нон (?), 16:47, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Идёт 14 лет, результат нулевой.
     

  • 1.28, Аноним (29), 16:27, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Единственно верное решение.
     
  • 1.37, Аноним (38), 16:58, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > Изменение войдёт в состав следующих значительных выпусков X.org Server и Xwayland

    Оно уже давно мертво, зачем его развивать? Почему бы не объявить давным давно проект deprecated и вносить только патчи безопасности и баг фиксы?

     
     
  • 2.39, Аноним (39), 17:17, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это и есть патч безопасности, просто ради каждого патча не выпускают релизы.
     
     
  • 3.41, Аноним (38), 17:47, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это понятно, но на вопрос-то отвеьте: о каких "новых значительных релизах" может идти речь? Проект мёртв, мейнтенерам предлагается прикрутить патч самостоятельно, что за идиотизм?
     
     
  • 4.59, Аноним (58), 21:37, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Видимо не все в команде X.org топят за вяленый и теплят надежду на новый релиз иксов.
     

  • 1.42, Аноним (45), 17:48, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Изменение войдёт в состав следующих значительных выпусков X.org Server и Xwayland, но так как никаких планов по их формированию пока нет, разработчикам...

    Очень обнадеживающие

     
  • 1.52, Аноним (52), 18:34, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опеннет, это твой шанс! Подхвати уже упавшее знамя Xfree86, сформируй релиз и покажи этим смузихлёбам как надо! Только на тебя надежда, когда крысы бегут с корабля. Только на тебя уповаем.
     
     
  • 2.53, Аноним (16), 18:55, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Опеннет - это ты. Руки в сруки и вперде!
     
  • 2.61, Аноним (45), 22:51, 09/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А кто нам высококлассным опеннет экспертам заплатит за это? Пусть сначала заплатят много денег, а потом мы покажем этим веб-ма...ам, любителям смузи как надо программировать.
     

  • 1.55, Аноним (55), 19:33, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > наличие потенциальных проблем с безопасностью в коде, который НЕДОСТАТОЧНО протестирован

    Сколько лет этому коду?

    > наличие потенциальных проблем с безопасностью...
    > может оказаться слабым местом... решено, что более целесообразно отключить по умолчанию не нужную в 99% случаях обработку, повысить общую защищённость X-сервера...
    > Изменение войдёт в состав следующих значительных выпусков X.org Server и Xwayland,

    но не смотря ни на что

    > ... никаких планов по их формированию пока нет.

    Странная новость.

     
  • 1.56, Аноним (57), 20:54, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >называется наличие потенциальных проблем с безопасностью в коде преобразования порядка байтов

    Программисты на Си даже порядок байтов безопасно поменять не могут.

     
     
  • 2.65, bOOster (ok), 04:43, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Макаки на расте этого сделать вообще не могут.
     
     
  • 3.68, burjui (ok), 07:13, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Макаки и на С не могут, поэтому имеет смысл для такого использовать людей. Но придётся поискать за пределами этого ресурса.
     
     
  • 4.72, Аноним (45), 08:32, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но ведь вам тоже лучше находиться за пределами этого ресурса и не тратить время на чтение маразмов месных экспертов.
    мне например нужно jetpack compose быстро-быстро учить, а вместо этого туплю тут :'(
     
  • 3.88, Alladin (?), 22:51, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    какраз на расте и нельзя просто так преобразовать число в массив байтов и наоборот, прежде требуется выбрать big или little endian..
     
     
  • 4.91, bOOster (ok), 14:35, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > какраз на расте и нельзя просто так преобразовать число в массив байтов
    > и наоборот, прежде требуется выбрать big или little endian..

    А если mid endian будет - растоманы опять архитектуру раста переписывать будут??

     

  • 1.60, Аноним (60), 22:10, 09/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Пора переписать иксы на расте, чтобы шаловливые поттерингоручки были надёжно заняты.
     
     
  • 2.67, burjui (ok), 07:07, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Лучше на COBOL - надёжная, проверенная временем технология, не то что эти ваши новомодные хрусты и сипиписьки.
     
     
  • 3.74, Бывалый смузихлёб (?), 08:57, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    От процессорных дыр это всё равно не спасёт
     
     
  • 4.79, Аноним (80), 11:31, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но поттерингоручки таки займёт надолго.
     
  • 4.89, _kp (ok), 11:53, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Спасёт. Они на Коболе до конца света писать будут. А если нет ПО, то нет и дыр.
     
  • 3.82, 1 (??), 14:38, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дык COBOL - это финансовые задачи. И да, ещё востребован.
     
     
  • 4.83, Аноним (83), 16:12, 10/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Дык COBOL - это финансовые задачи.

    Всё правильно, по-вашему какие ещё задачи у поттерингоручек?

     

  • 1.92, Аноним (92), 18:44, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Из xorg вообще можно было бы убрать видеодрайвера оставить только универсальные, такие как modesetting, Glamor, xwayland, fbdev, vesa

     
     
  • 2.93, Аноним (94), 19:39, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    nv забыл
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру