Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление X.Org Server 21.1.7 с устранением уязвимости"	+/–
Сообщение от opennews (??), 07-Фев-23, 11:01
Доступен корректирующий выпуск X.Org Server 21.1.7, в котором устранена уязвимость (CVE-2023-0494), позволяющая поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58612
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 07-Фев-23, 11:01	–3 +/–
Никогда такого не было и вот опять.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

3. Сообщение от ryoken (ok), 07-Фев-23, 11:02	–1 +/–
Кто-то прошляпил..?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #65

5. Сообщение от Аноним (5), 07-Фев-23, 11:03	+/–
> https://security-tracker.debian.org/tracker/CVE-2023-0494 это что получается, только в старом deb10 уязвимость исправлена на данный момент?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #139

7. Сообщение от Аноним (7), 07-Фев-23, 11:05	+/–
Ждем таких же новостей про wayland
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60

9. Сообщение от Аноним (1), 07-Фев-23, 11:06	+/–
$ eix xorg-server -c   x11-base/xorg-server (21.1.7(0/21.1.7){xpak}@02/07/23): X.Org X servers
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от Вечно недовольный аноним (?), 07-Фев-23, 11:07	+18 +/–
Это выражение набило оскомину, прошу больше его не использовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #12, #17, #47, #61, #62

11. Сообщение от Аноним (11), 07-Фев-23, 11:08	+3 +/–
> если для доступа используется перенаправление сеанса X11 при помощи SSH. Так вот почему говорили, что это преимущество иксов перед Wayland. > Уязвимость возникла из-за пропущенной фигурной скобки в выражении "else { Классика жанра. Жаль, что нельзя ретроактивно запретить в языке без скобок писать if-else ветви.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50, #51

12. Сообщение от Аноним (12), 07-Фев-23, 11:14	–1 +/–
"Пасеку, пасеку тушите!!". Пойдёт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #43, #44

17. Сообщение от Аноним (17), 07-Фев-23, 11:18	+/–
Тем более его тут в 99% случаях используют с потерей изначального смысла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #108

22. Сообщение от ИмяХ (?), 07-Фев-23, 11:22	+4 +/–
>>поднять свои привилегии в системе, если X-сервер выполняется с правами root Опять рут взломал сам себя
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

25. Сообщение от хрю (?), 07-Фев-23, 11:27	+3 +/–
>>Уязвимость возникла из-за пропущенной фигурной скобки в выражении "else {" что-то как-то звучит как не правда. Оно бы не скомпилировалось. Там забыли обнулить указатель, это да. Но не просто "скобку пропустили":         -else         +else {              free(to->button->xkb_acts);         +    to->button->xkb_acts = NULL;         +}
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #140

33. Сообщение от Аноним (33), 07-Фев-23, 11:44	+/–
Ну, вообще то можно без фигурных скобок делать выражения аля     if (0 >= foo)         foo_gahtermore();     else         foo_eatone(); Сорян если и так знали, просто сложилось впечатление, что вы про это не знали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #67

34. Сообщение от Аноним (34), 07-Фев-23, 11:49	+/–
Проще оставить ссылку: https://blog.invisiblethings.org/2011/04/23/linux-security-c...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

43. Сообщение от Аноним (43), 07-Фев-23, 12:32	+/–
"Мэбел, мэбэл вынаси!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

44. Сообщение от zezic (?), 07-Фев-23, 12:48	+/–
Пойдёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #141

45. Сообщение от Анонн (?), 07-Фев-23, 13:36	–5 +/–
Какая прелесть. Просто забыли занулить, не, ну чо, бывает. И получили RCE. Но тоже норм. Жалко не написали сколько лет она там жила.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #111

47. Сообщение от Аноним (47), 07-Фев-23, 13:46	–2 +/–
Уж сколько раз твердили миру, чего только не сделают, лишь бы не будем попробовать новые модные, молодёжные выражения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #56

50. Сообщение от zog (??), 07-Фев-23, 13:52	–2 +/–
А зачем лишние скобки в конструкции типа else if () {}
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

51. Сообщение от Вы забыли заполнить поле Name (?), 07-Фев-23, 14:07	+3 +/–
> запретить в языке без скобок писать if-else ветви. Clang-tidy в помощь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

56. Сообщение от annon (?), 07-Фев-23, 14:41	+/–
молодежные? да ему уже сколько лет, да еще и старпером сказано было
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

58. Сообщение от Анонимусс (?), 07-Фев-23, 15:00	+3 +/–
А где второй кусок предложения из новости? > или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH. Как же удобно удобно читать только то, что хочешь увидеть, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

60. Сообщение от Аноним (60), 07-Фев-23, 15:27	+6 +/–
А он уже что-то умеет кроме как запускать себя?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #63

61. Сообщение от Аноним (61), 07-Фев-23, 15:38	–2 +/–
>Это выражение набило оскомину от слова совсем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

62. Сообщение от Аноним (62), 07-Фев-23, 15:39	+/–
Это выражение нетолерантно, оно оскорбляет сишников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

63. Сообщение от Аноним (65), 07-Фев-23, 15:53	–1 +/–
Ну на нём как минимум несколько дистрибов по умолчанию. inb4: врëти
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

64. Сообщение от Аноним (65), 07-Фев-23, 16:00	+/–
Что-то какой-то слабый вой от адептов CVE-languages. Зато в новостях о расте все смелые такие.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66, #68, #71, #94

65. Сообщение от Аноним (65), 07-Фев-23, 16:06	–1 +/–
Прошляпил тот, кто пишет такие вещи на CVE-languages, а потом вопит про смузи. Прошляпил вообще всё в этой жизни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

66. Сообщение от Аноним (66), 07-Фев-23, 16:12	+2 +/–
Не надо серьезно рассматривать Xorg как оплот безопасности и надежности. Само собой тут никто не воет, от него уже давно никто ничего не ждет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #120

67. Сообщение от ihatenpm (?), 07-Фев-23, 16:25	+1 +/–
в MISRA C это не рекомендуется
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #74

68. Сообщение от ihatenpm (?), 07-Фев-23, 16:27	+1 +/–
Вы уже вылезли из скорлупы и из-под курицы и уже написали свой граф сервер, драйвера, ядра ОС, библиотеки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

71. Сообщение от Аноним (71), 07-Фев-23, 16:40	–1 +/–
Очевидно потому что от фанатиков тоже слабый вой и отвечать не на что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #77

74. Сообщение от анон (?), 07-Фев-23, 17:20	+/–
но не запрещено -> никто кроме ревьювера твоего кода не сможет остановить попадание этого безобразия в проект
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

77. Сообщение от ihatenpm (?), 07-Фев-23, 17:26	+/–
странное явление, преувеличивать то, чего нет - фанатизм, а то, чего есть -- называть фанатизмом. это вялотекущая шиза
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

94. Сообщение от Аноним (94), 07-Фев-23, 18:12	+/–
А вот высокое искусство https://www.youtube.com/embed/AkWXXGe49cw
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

95. Сообщение от Аноним (95), 07-Фев-23, 18:18	+1 +/–
Опять ненастоящие сишники прогали? Или паскалисты подбросили? Какой консенсус-то?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #96, #102

96. Сообщение от Аноним (-), 07-Фев-23, 18:19	–1 +/–
Питонисты! Они во всем виноваты! Все зло из-за пробелов!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

102. Сообщение от ihatenpm (?), 07-Фев-23, 18:27	+3 +/–
еще один адепт идеального безошибочного кода. только в твоём мирке может быть такое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #104

104. Сообщение от Аноним (-), 07-Фев-23, 18:38	+1 +/–
А ты походу адепт езды без ремня безопасности, без подушки, без ABS и ESP?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #113, #122

108. Сообщение от Илья (??), 07-Фев-23, 18:51	+1 +/–
А какой был изначальный смысл? Попытка обращения к элементу массива за его пределами? Или двойное освобождение памяти? Чего там ещё в плюсах есть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #110

110. Сообщение от Анонн (?), 07-Фев-23, 19:06	+/–
NULL Pointer Dereference Signed to Unsigned Conversion Error Unsigned to Signed Conversion Error Use of Uninitialized Variable Use of sizeof() on a Pointer Type Да куча их, считать не пересчитать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

111. Сообщение от Вы забыли заполнить поле Name (?), 07-Фев-23, 19:49	+/–
Пишешь из под X'ов поди?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

113. Сообщение от Вы забыли заполнить поле Name (?), 07-Фев-23, 19:51	+1 +/–
От сильной аварии тебя это не спасет. Если я буду в танке без ремней, подушек и ABS, а ты в volvo, то твой volvo сомнется как консервная банка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #115

115. Сообщение от Анонн (?), 07-Фев-23, 20:05	+/–
А чего на танке? Давай сразу на авианосце! Может лучше я на вольво (пусть даже старенькой, какой-то пятилетке), а ты на жиге-копейке. И лоб в лоб на трассе на скорости 110 км/ч. Две полосы. Разделителя нет. Где-нибудь на М52, недалеко от Барнаула. Вполне себе реалистичная ситуация (а не "я буду в танке"...) Ну и посчитай у кого шансов больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #128

120. Сообщение от Аноним (65), 07-Фев-23, 21:06	+/–
Доо, зато все остальные проекты на сишке и плюсишке просто оплот rock stable.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #136

122. Сообщение от Вы забыли заполнить поле Name (?), 07-Фев-23, 21:12	–1 +/–
> А ты походу адепт езды без ремня безопасности, без подушки, без ABS > и ESP? На ручной коробке поехать хоть сможешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #127

127. Сообщение от ihatenpm (?), 07-Фев-23, 21:23	–1 +/–
верхом если только он поедет, и ручник заодно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

128. Сообщение от Вы забыли заполнить поле Name (?), 07-Фев-23, 21:25	+/–
> А чего на танке? Давай сразу на авианосце! Если будешь менять тему в след. раз, то подумай для начала. Авианосец - это водный вид транспорта. > Может лучше я на вольво (пусть даже старенькой, какой-то пятилетке), а ты > на жиге-копейке. > И лоб в лоб на трассе на скорости 110 км/ч. Две полосы. > Разделителя нет. Где-нибудь на М52, недалеко от Барнаула. Вполне себе реалистичная > ситуация (а не "я буду в танке"...) > Ну и посчитай у кого шансов больше. > на жиге-копейке. > на скорости 110 км/ч > 110 км/ч Кина насмотрелся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

136. Сообщение от maximnik0 (?), 08-Фев-23, 00:20	+/–
>Доо, зато все остальные проекты на сишке и плюсишке просто оплот rock stable. От языка не зависит сэр.От логических ошибок,рассенхронизации и т.д очень трудно избавиться и от языка это не зависит .А даже на Си можно писать безопасные программы если аппаратура ЭВМ имеет аппаратную защиту стэка и памяти.Почитайте сколько ошибок было выявлено при переносе Си шных программ на Burrought Large System.Бабоян честно говоря не совсем искренен когда называл Эльбрус с аппаратной защитой не имеющей аналагов- в барроус используется "потенциальная адресация" -указатели заменяются специально защищёнными объектами (аппаратные атрибуты).У нас не любят вспоминать про эту ЭВМ по одной причине-её разрешили поставить для нефтянки во времена холодной войны официально на гарантии правительства не использовать в военном секторе.(почитайте архитектуру и сравните с не имеющими аналогов Эльбрусе 1-3 (не последний который на сверхдлиннем слове) и задумайтесь,кроме конвейера все слизано.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

138. Сообщение от Аноним (138), 08-Фев-23, 03:48	+/–
> разработчики забыли Коллективная потеря памяти.
Ответить | Правка | Наверх | Cообщить модератору

139. Сообщение от Аноним (139), 08-Фев-23, 04:27	–1 +/–
В Openbsd ночью патчи прилетели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

140. Сообщение от Аноним (139), 08-Фев-23, 04:31	–1 +/–
"Обнуление указателей -- это глупость". Баг не в незанулении указателя, а в double-free. Если его не занулять, то иногда он будет крашиться, что поможет баг найти, с нулевым же указателем этого не найти никогда. Более того, есть системы, на который нулевой указатель -- валидный адрес.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

141. Сообщение от Андрей (??), 08-Фев-23, 07:21	+/–
Пишут непойми что, ощущение что под воздействием наркоты или есчо чего-то. Читаешь и понимаешь что пишут бред, никак не связанный с темой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #144

144. Сообщение от Аноним (144), 09-Фев-23, 11:01	+/–
"есчо" связано с темой? Всей республике и за границами нашей родины давно ясно, что слонёнок выпустил газ, но малэнько-малэнько. ) И этим людям доверяют ИТ критичных объектов?😁 https://i.imgur.com/UwwYI0o.png
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема