Разработчики X.Org сообщили (http://lists.x.org/archives/xorg-announce/2013-May/002219.html) о выявлении 30 уязвимостей, затрагивающих различные клиентские библиотеки X11, а также DRI-компоненты (http://lists.freedesktop.org/archives/mesa-dev/2013-May/0397...) Mesa. Проблемы обусловлены отсутствием должной проверки корректности передаваемых в рамках протокола X11 наборов данных и проявляются в виде выхода за границы буферов и целочисленных переполнений при обработке некорректно оформленных запросов. Многие уязвимости позволяют инициировать выполнение кода на стороне X-клиента при взаимодействии с подконтрольным атакующему сервером. Так как клиент и сервер в большинстве случаев выполняются на одной машине под одним пользователем или сервер работает с более высокими привилегиями, выявленные уязвимости не представляют большой опасности. Тем не менее они могут угрожать конфигурациям, когда привилегированный клиент подсоединяется к непривилегированному стороннему серверу (например, setuid X-клиент подсоединяется к виртуальному X-серверу, такому как Xvfb или Xephyr).

Исправления внесены (http://www.x.org/wiki/Development/Security/Advisory-2013-05-23) в следующие выпуски библиотек:

libX11 1.5.99.902 (1.6 RC2),
    libXcursor 1.1.14,
    libXext 1.3.2,
    libXfixes 5.0.1,
    libXi 1.7.2,
    libXinerama 1.1.3,
    libXp 1.0.2,
    libXrandr 1.4.1,
    libXrender 0.9.8,
    libXRes 1.0.7,
    libXv 1.0.8,
    libXvMC 1.0.8,
    libXxf86dga 1.1.4,
    libXxf86vm 1.1.3,
    libdmx 1.1.3,
    libxcb 1.9.1,
    libFS 1.0.5,
    libXt 1.1.4.

URL: http://lists.x.org/archives/xorg-announce/2013-May/002219.html
Новость: http://www.opennet.me/opennews/art.shtml?num=37003

• В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Zenitur, 20:36 , 23-Май-13
  • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 20:40 , 23-Май-13
    • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 21:50 , 23-Май-13
    • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Карбофос, 22:21 , 23-Май-13
      • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 22:30 , 23-Май-13
        • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Карбофос, 22:42 , 23-Май-13
          • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 00:04 , 24-Май-13
          • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 01:33 , 24-Май-13
            • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 01:35 , 24-Май-13
            • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Карбофос, 01:10 , 25-Май-13
      • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Сергей, 23:22 , 23-Май-13
        • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 18:36 , 24-Май-13
• В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 20:39 , 23-Май-13
  • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 20:56 , 23-Май-13
• В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 21:15 , 23-Май-13
  • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 21:33 , 23-Май-13
    • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 01:50 , 24-Май-13
  • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 00:07 , 24-Май-13
    • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 00:24 , 24-Май-13
      • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 12:44 , 26-Май-13
  • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 01:40 , 24-Май-13
• В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,iZEN, 21:54 , 23-Май-13
  • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 22:32 , 23-Май-13
    • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 01:37 , 24-Май-13
      • В клиентских библиотеках X.Org и Mesa выявлено 30...,arisu, 02:28 , 24-Май-13
        • В клиентских библиотеках X.Org и Mesa выявлено 30...,Аноним, 18:32 , 24-Май-13
  • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Карбофос, 22:41 , 23-Май-13
    • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,цирроз, 09:27 , 24-Май-13
• В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 01:29 , 24-Май-13
  • В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,anonymousY, 16:24 , 24-Май-13
• В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Аноним, 14:50 , 24-Май-13
• В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимосте...,Int, 20:19 , 24-Май-13

Вот это улов. В предыдущие разы (кстати, можно добавить "Похожие новости") одна или две уязвимости описаны, но 30 за раз - я такого не видел в иксах. В Java и в браузерах только помню.

Ну и щас конечно же какой-нибудь важный человек выскажется о том, что "в свете последних событий необходимо как можно быстрее закончить работу над Wayland и прекратить поддержку X.org". Может, они специально добавили уязвимости пару месяцев назад, чтобы потом героически их закрыть?

Обычно это происходит так. Всем на всё наплевать и это продолжается годы. Но вот тут на горизонте появляется чудесный человек, которому (пока) не всё равно. Этот человек с большим оптимизмом знанием дела подходит к проблеме и героически её решает. Далее его энтузиазм заканчивается и всё повторяется по кругу.

Этим человеком был
> Ilja van Sprundel, a security researcher with IOActive

мои тикеты они год обрабатывали. пару раз действительно критично, около десятка - чтение конфигов: небольшие утечки памяти, хрень с указателями. печально от того, что так долго. может дела быстрее пойдут, если готовые патчи людям давать. в этом проекте не пробовал ещё.

Раструби лучше об этой уязвимости на каком-нибудь форуме. Так привлечёшь внимание к проблеме, может и патч быстрее примут.

Шурик, вы комсомолец? Это же не наш метод! (с) "Операция "Ы"

Надо, Федя, надо. (оттуда же)

> Шурик, вы комсомолец? Это же не наш метод! (с) "Операция "Ы"

Если вы заинтересованы в том, чтобы дыру как можно дольше не закрывали - то да.
А если наоборот - вполне себе правильный метод.

// Чтобы в дальнейшем не писать подобных глупостей, познакомьтесь немного с матчастью и принципами работы безопасников, например, oogleonlinesecurity.blogspot.ru/2010/07/rebooting-responsible-disclosure-focus.html

http://googleonlinesecurity.blogspot.ru/2010/07/rebooting-re...
// поправил ссылку

>не писать подобных глупостей, познакомьтесь немного с матчастью

не учите меня жить, лучше помогите материально. Ильф и Петров, "12 стульев".

>  может дела быстрее пойдут, если готовые патчи людям давать

Однозначно.

>>  может дела быстрее пойдут, если готовые патчи людям давать
> Однозначно.

Это сильно от людей зависит. Иногда совсем не однозначно - как было пофиг, так и будет.

Для 1.12 фикс выйдет?

Уязвимости не в сервере же.

нет, неуязвимого кода не существует.

> нет, неуязвимого кода не существует.

Верно, но время от времени стоит пересматривать свой код и менять его в лучшую сторону. Некоторые изменения невозможны без переделки фундамента кодовой базы, и пренебрежение этим фактом приводит к тому, что такой проект рано или поздно заменит тот в котором, решились переделать те или иные фундаментальные недостатки. Повышается опыт, меняется подход к реализации тех или иных задач.

> Верно, но время от времени стоит пересматривать свой код и менять его
> в лучшую сторону. Некоторые изменения невозможны без переделки фундамента кодовой базы,
> и пренебрежение этим фактом приводит к тому, что такой проект рано
> или поздно заменит тот в котором, решились переделать те или иные
> фундаментальные недостатки. Повышается опыт, меняется подход к реализации тех или иных
> задач.

Вы рассуждаете вполне логично. Но, тем не менее, большинство людей с вами не согласится.
Любая переделка фундамента, с точки зрения неквалифицированного пользователя - это "NIH", "ненужный велосипед", "стремление сломать совместимость", "отклонение от юниксвея" и так далее.
Он же не видит, какие проблемы в этом фундаменте. И вообще очень смутно представляет, что какой-то фундамент вообще существует. Поэтому он видит только разработчиков, которые страдают фигней, вместо того, чтобы прикручивать видимые и понятные любому юзеру свистелки и перделки.

> нет, неуязвимого кода не существует.

Вызов принят.

int main(){
  while(1); /* не делаю return 0, ибо программа может запускаться в качестве ядра, в коем случае возвращать ноль будет некуда */
}

Готово! Можете уязвлять.

> Готово! Можете уязвлять.

Зачем его уязвлять? Он сам себя уязвил: жрет проц в полку не делая ничего полезного. Лайт-версия атаки на отказ в обслуживании.

xkill в помощь

> нет, неуязвимого кода не существует.

Существует. Но он, к сожалению, бесполезен.

Например, неузявимым по определению является код, который не работает.
Как grsecurity - попробуй ломани систему, у которой ядро перманентно паникует.

А всё почему? А всё потому, что за написание программ-ломщиков, выявляющих и использующих уязвимости в ПО, в законодательстве большинства стран предусмотрено уголовное наказание. Из-за этого создатели таких программ не спешат делится ценной информацией по обнаруженным уязвимостям с производителями ПО — за демонстрацию использования выявленной уязвимости можешь угодить за решётку.

> А всё почему? А всё потому, что за написание программ-ломщиков, выявляющих и
> использующих уязвимости в ПО, в законодательстве большинства стран предусмотрено уголовное
> наказание. Из-за этого создатели таких программ не спешат делится ценной информацией
> по обнаруженным уязвимостям с производителями ПО — за демонстрацию использования
> выявленной уязвимости можешь угодить за решётку.

Да уж, такой глупости я еще не слышал. Теперь ясно, почему некоторые пренебрегают отладочным режимом для своих программ. ПО может помочь в той или иной задаче, но думать за вас оно не будет. Уязвимости не запрещено находить, запрещено их использовать для причинения различного вреда.

> Да уж, такой глупости я еще не слышал. Теперь ясно, почему некоторые
> пренебрегают отладочным режимом для своих программ. ПО может помочь в той
> или иной задаче, но думать за вас оно не будет. Уязвимости
> не запрещено находить, запрещено их использовать для причинения различного вреда.

Запрещено-не запрещено, а некоторые эффективные менеджеры за один факт нахождения могут в суд подать. А закон, как известно, что дышло - кто больше судье заплатил, тому и вышло.

> некоторые эффективные менеджеры за один факт нахождения могут в суд подать.

очень хочу знать, у кого из них есть телепатор, раз они могут подать в суд за «факт нахождения». я тоже пойду туда работать и попрошу, чтобы меня к телепатору приписали.

Найти и никому не говорить - скучно. Даже в суд никто не подаст.

ты ВООБЩЕ не в курсе дел. даже не в курсе положения дел в open source. грусть-печаль.

>ни кто

что, такие ошибки браузер не подчёркивает?

> Так как клиент и сервер в большинстве случаев выполняются на одной машине под одним пользователем или сервер работает с более высокими привилегиями, выявленные уязвимости не представляют большой опасности.

ЛПП. Как минимум CVE-2013-2003 (переполнение буфера в libXcursor) - это тривиальный local root.
http://www.securityfocus.com/bid/60121/discuss

Каким образом???

О, как. То-то вижу, что в дебиан куча секьюрити-фиксов пришло.

Это они после публикации BSOD от рескайлинга окна в винде, решили проверить ?