The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск текстового редактора GNU Emacs 29.3 с устранением уязвимостей

25.03.2024 09:12

Проект GNU опубликовал релиз текстового редактора GNU Emacs 29.3. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта Джону Вигли (John Wiegley) осенью 2015 года. Код проекта написан на языках Си и Lisp и распространяется под лицензией GPLv3.

GNU Emacs 29.3 преподносится как внеплановый экстренный выпуск с устранением уязвимостей. По предварительным данным уязвимости позволяют добиться выполнения кода при открытии определённого контента или просмотре в Gnus писем со специально оформленными вложениями. Непосредственно уязвимости в списке изменений пока не детализируются, имеется информация только о добавленных методах защиты:

  • Для блокирования подстановки внешнего вредоносного кода запрещено исполнять произвольный Lisp-код при включении режима Org.
  • Добавлена новая переменная 'untrusted-content', которую можно использовать для пометки помещения в локальный буфер не заслуживающего доверия содержимого, к которому Lisp-программам следует относиться с особой осторожностью.
  • В Gnus содержимое встроенных (inline) MIME-блоков теперь обрабатывается как не заслуживающее доверия.
  • По умолчанию отключён предпросмотр содержимого почтовых вложений в формате LaTeX. Для возвращения старого поведения добавлен параметр 'org--latex-preview-when-risky'.
  • В режиме Org содержимое внешних файлов, вызываемых через 'file-remote-p', обрабатывается как не заслуживающее доверия.


  1. Главная ссылка к новости (https://www.mail-archive.com/i...)
  2. OpenNews: Выпуск текстового редактора GNU Emacs 29.2
  3. OpenNews: Выпуск текстового редактора GNU Emacs 29.1 с поддержкой Wayland
  4. OpenNews: Вышел Conkeror 1.0.0, Emacs-подобный браузер на движке Mozilla Gecko
  5. OpenNews: Ричард Столлман выступил против добавления поддержки отладчика LLDB в Emacs
  6. OpenNews: Опыт по использованию Emacs вместо оконного менеджера
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60840-emacs
Ключевые слова: emacs
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:23, 25/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Текстовый редактор-то хоть завезли?
     
     
  • 2.12, kusb (?), 11:35, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там был vim
     
     
  • 3.13, kusb (?), 11:36, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как плагин то есть
     
  • 2.14, crandel (ok), 11:46, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Текстовый редактор-то хоть завезли?

    Лучший в мире текстовый редактор

     
     
  • 3.18, Аноним (1), 14:12, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ... это vim)
     
     
  • 4.21, Аноним (21), 14:37, 25/03/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     

  • 1.2, Вы забыли заполнить поле Name (?), 09:28, 25/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Судя по всему уязвимость из-за слишком широких возможностей. В редакторе надо код писать, а не делать все остальное. А если делаете второе, то нужна какая-то изоляция.
     
     
  • 2.27, Аноним (-), 17:04, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >В редакторе надо код писать, а не делать все остальное.

    Философия Имакса - расширения без границ. Это же редактор-монстр.

     

  • 1.3, Вы забыли заполнить поле Name (?), 09:34, 25/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > По умолчанию отключён предпросмотр содержимого почтовых вложений в формате LaTeX.

    Я правильно понял, что полученный документ на техе собирался локально? Не надо быть очень умным, чтобы понять что это rce

     
  • 1.4, Аноним (4), 09:35, 25/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это уже давно не редактор, а... нк... это почти операционная система?!
     
     
  • 2.15, Тот_ещё_аноним (ok), 12:29, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Имхо самое близкое - gui к lisp-машине
     
     
  • 3.25, Аноним (-), 16:59, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошая мысль. Если бы были Лисп-машины, то Имакс был бы в нём королём. Вот только Лисп-машин уже не существует, если конечно не считать музейные экземпляры.
     
     
  • 4.38, Аноним (38), 14:10, 27/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Лисп-машин, может, и нет, а редактор до сих пор жив — делает всё, что угодно, расширяем до безобразия, и даже не требует браузер внутри для работы.
     

  • 1.5, iPony129412 (?), 09:52, 25/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    как там поддержка цветных шрифтов?
    да, я про Emodji 🤨

    https://github.com/emacs-mirror/emacs/commit/9344612d3cd164317170b6189ec431757

     
     
  • 2.6, Аноним (6), 09:57, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нормально там всё с ней. А что?
     
  • 2.11, Аноним (11), 11:11, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Проблемы маколюбов.
     
  • 2.32, Аноним (32), 03:28, 26/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Цветные шрифты - это маразм для смузихлёбов. Цвет определяется редактором(человеком).
     

  • 1.7, Аноним (7), 10:07, 25/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это же зрелый лисп, он не умеет не выполнять код на лиспе.
     
  • 1.8, user90 (?), 10:31, 25/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Юзал несколько лет, а сейчас Nano))
     
     
  • 2.9, Аноним (7), 10:46, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    вкуси notepad, пока ещё можно. потом будешь внукам рассказывать
     
     
  • 3.17, kusb (?), 13:25, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > вкуси notepad, пока ещё можно. потом будешь внукам рассказывать

    Собрать notepad как плагин к Emacs. Если нужно, то перевести в лисп.

     
  • 3.20, Аноним (-), 14:30, 25/03/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     

  • 1.19, Аноним (-), 14:29, 25/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пацаны! На самом деле GNU Emacs это операционная система! Она умеет варить кофэ. Потерпите текстовый редактор скоро завезут.
     
  • 1.22, Аноним (22), 14:38, 25/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    vboxuser@Kubuntu:~$ sudo apt-get install emacs
    E: Could not get lock /var/lib/dpkg/lock-frontend. It is held by process 3489 (unattended-upgr)
    N: Be aware that removing the lock file is not a solution and may break your system.
    E: Unable to acquire the dpkg frontend lock (/var/lib/dpkg/lock-frontend), is another process using it?
    vboxuser@Kubuntu:~$


    Хочу начать изучать сабж.
    Вопрос к знатокам, как поставить в Кубунту?

     
     
  • 2.23, Аноним (21), 14:45, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    apt-get install emacs
    Как-то так
     
  • 2.26, soarin (ok), 17:04, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это же линукс
    надо пойти попить чаю часик и попытаться снова
     
  • 2.36, Аноним (36), 13:08, 26/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуйте перезагрузить систему и затем выполнить:

    sudo dpkg --configure -a

     

  • 1.24, Аноним (24), 15:19, 25/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Через emacs ещё в 80х, а то и раньше юниксы ломали. https://en.wikipedia.org/wiki/Markus_Hess - про те дела. Цитирую самого Столла:

    "Ричард Столман, свободный художник-программист, всегда громко заявлял, что информация должна быть открытой. Его программы, которые он раздавал задаром направо и налево, блистали остротой мысли, хорошим стилем и вдохновением. Столман создал мощную программу редактирования под названием «Гну-Эмакс». Гну — это гораздо больше, чем простой текстовый редактор. Ее очень легко перестроить под любого пользователя. Она здорово облегчает написание других программ. Естественно, что всем нашим физикам сразу потребовалась Гну; мы успешно инсталлировали ее, большую часть времени глядя в потолок. Была только одна проблема: в ней сидела плюха.
          Инсталляция производилась так, что возможность пересылать файл из собственного каталога в чей-либо другой обеспечивалась необычным способом. Гну не проверяла, кто принимает этот файл, и нужен ли он в месте назначения. Она просто переименовывала его и меняла метку принадлежности. То есть происходила простая передача права владения от одного пользователя к другому.
          Переслать файл из вашей области в мою нетрудно. Но лучше не пытаться переслать его в защищенную системную область — это может делать только менеджер. Программа Столмана должна была бы контролировать такие попытки. Но не контролировала. Это позволяло кому угодно переслать файл в защищенную системную область. Хакер это знал, а мы нет. Хакер использовал Гну для замены родной системной версии atrun на свою программу. Пять минут спустя система начала насиживать подложенное яйцо, и он получил ключи от нашего компьютера.
          Гну оказалась дырой в системе защиты."

     
     
  • 2.29, Аноним (29), 22:27, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Гну оказалась дырой в системе защиты.

    Почему сразу "дырой"?
    Это свободный редактор, и он даёт свободу.
    Факт, что хакер использовал её в деструктивных целях, вытаскивает другой факт: присутствие хакера является дырой в защите организации, а само существование хакера -- дырой в построении законопослушного общества.

    Но эти дыры мы, конечно, рассматривать не будем.  Потому что они большие и от них огрести можно.

    Также не будем рассматривать пару системных фактов: что фс не защищает важные файлы и что система не разделяет привилегии пользователей.
    Потому что эти дыры не для физиков, которые редактор ставили.

    Поэтому обвинён редактор, тогда как реальная проблема -- пара "система-хакер".

     
     
  • 3.30, Аноним (24), 23:33, 25/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    По факту Столлман и безопасность всегда были взаимоисключающими параграфами, до... большой текст свёрнут, показать
     
     
  • 4.31, Аноним (31), 01:40, 26/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > выставлены конкретно у них. GNU Emacs был инсталлирован таким образом, что
    > рядовой пользователь мог получить особые привилегии. Используя команду «move-mail»,
    > можно было получить доступ к любому файлу системы. В результате в
    > системе безопасности возникала брешь, и хакер пронюхал, что может получить доступ
    > к святая святых (цитирую по небезызвестной книжке "Takedown"). Там были машины
    > и с полноценной операционкой (которая VMS), их вроде как поломать не
    > удалось.
    >> Поэтому обвинён редактор, тогда как реальная проблема -- пара "система-хакер".
    > Реальная проблема - это дырявый emacs, с помощью которого любой желающий мог
    > получить рута.

    и не лень тебе стока херни писать, выдумывать, просто чтоб полить дерьмом заслуженных людей.

    P.S. не читал.

     
     
  • 5.33, Аноним (24), 07:35, 26/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > и не лень тебе стока херни писать, выдумывать, просто чтоб полить дерьмом заслуженных людей

    Выдумывать ничего не нужно, история хорошо известная, случилась в 1986 году и без труда гуглится по словам Project Equalizer.

    > P.S. не читал

    Твои проблемы.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру