Опубликован релиз X.Org Server 1.20.11, в котором устранена уязвимость (CVE-2021-3472), позволяющая повысить свои привилегии в системах, в которых X-сервер выполняется с правами root. Проблема вызвана ошибкой в расширении XInput, приводящей к изменению содержимого области памяти вне выделенного буфера при обработке запросов ChangeFeedbackControl со специально оформленными входными данными. Аналогичная проблема также устранена в компоненте xwayland 21.1.1...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54964
> в которых X-сервер выполняется с правами rootЗачем?
Nvidia
Что nvidia? Как невидия заставляет запускать иксы под рутом? А код, который необходимо пускать под рутом, точно нельзя вынести в отдельный сервис, который бы абстрагировал работу с железками и имел бы нужные привелегии?
> Что nvidia?Подозреваю очередной троллинг по поводу блоба. Который, впрочем, без проблем работает с иксами, запущенными под непривилегированным пользователем.
>> Что nvidia?
> Подозреваю очередной троллинг по поводу блоба. Который, впрочем, без проблем работает с
> иксами, запущенными под непривилегированным пользователем.В текущем штабле от дебиан невидия работает с рутовыми правами как и многие годы до этого.
В текущем олдстабле работает без рута
А это уже от карты зависит. Вот интел у меня тоже сто лет без рута.
Так это проблема чисто дебиана а не нвидии.Возьмите ту же федору, уже 6 или 7 лет иксы из под пользователя. И почти все остальные дистрибутивы последовали. И почему-то нивидия там не мешает...
> Так это проблема чисто дебиана а не нвидии.
> Возьмите ту же федору, уже 6 или 7 лет иксы из под
> пользователя. И почти все остальные дистрибутивы последовали. И почему-то нивидия там
> не мешает...Дело в драйвере, а не в дистрибутиве. Со свободным драйвером всё из-под усера.
Для тугих: в нормальных дистрибутивах нвидия с проприетарным драйвером нормально работает безо всяких рутов.
> Для тугих: в нормальных дистрибутивах нвидия с проприетарным драйвером нормально работает
> безо всяких рутов.Для сильно умных повторяю, что это не так. Ни в федоре, ни в дебиане, ни в бубунте.
Уважаемый, вы какую-то фигню пишете. Вот абсолютно. Имеем обычную федору (33, предыдущий релиз еще), нвидию (Geforce 1050 Ti) - какой на фиг рут??? Еще раз, если в дебиане рут, это проблема дебиана, а не нвидии. Во всех нормальных дистрибутивах уже много лет иксы из под пользователя.[mosgalin@x1e ~]$ rpm -qa|grep nvidia
xorg-x11-drv-nvidia-kmodsrc-465.27-1.fc33.x86_64
xorg-x11-drv-nvidia-cuda-libs-465.27-1.fc33.x86_64
nvidia-persistenced-465.27-1.fc33.x86_64
xorg-x11-drv-nvidia-libs-465.27-1.fc33.i686
xorg-x11-drv-nvidia-libs-465.27-1.fc33.x86_64
nvidia-settings-465.27-1.fc33.x86_64
nvidia-xconfig-465.27-1.fc33.x86_64
xorg-x11-drv-nvidia-465.27-1.fc33.x86_64
akmod-nvidia-465.27-1.fc33.x86_64
xorg-x11-drv-nvidia-cuda-libs-465.27-1.fc33.i686
xorg-x11-drv-nvidia-cuda-465.27-1.fc33.x86_64
kmod-nvidia-5.11.18-200.fc33.x86_64-465.27-1.fc33.x86_64
kmod-nvidia-5.11.19-200.fc33.x86_64-465.27-1.fc33.x86_64
kmod-nvidia-5.11.20-200.fc33.x86_64-465.27-1.fc33.x86_64[mosgalin@x1e ~]$ lsmod|grep nvidia
nvidia_drm 69632 2
nvidia_modeset 1187840 4 nvidia_drm
nvidia_uvm 1163264 0
nvidia 34971648 98 nvidia_uvm,nvidia_modeset
drm_kms_helper 282624 2 nvidia_drm,i915
drm 622592 10 drm_kms_helper,nvidia_drm,i915[mosgalin@x1e ~]$ ps aux|grep Xorg
earlyoom 2071 0.0 0.0 2496 1852 ? SLs 11:34 0:00 /usr/bin/earlyoom -r 0 -m 4 -M 409600 --prefer ^Web Content$ --avoid ^(dnf|packagekitd|gnome-shell|gnome-session-c|gnome-session-b|lightdm|sddm|sddm-helper|gdm|gdm-wayland-ses|gdm-session-wor|gdm-x-session|Xorg|Xwayland|systemd|systemd-logind|dbus-daemon|dbus-broker|cinnamon|cinnamon-sessio|kwin_x11|kwin_wayland|plasmashell|ksmserver|plasma_session|startplasma-way|xfce4-session|mate-session|marco|lxqt-session|openbox)$
mosgalin 3499 9.2 0.4 26228672 132628 tty2 Rl+ 11:34 0:15 /usr/libexec/Xorg vt2 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -nolisten tcp -background none -noreset -keeptty -novtswitch -verbose 3
mosgalin 5064 0.0 0.0 221592 840 pts/0 S+ 11:37 0:00 grep --color=auto Xorg[mosgalin@x1e ~]$ ps auxfw|grep -A 2 -B 2 Xorg
...root 3455 0.0 0.0 386656 13080 ? Sl 11:34 0:00 \_ gdm-session-worker [pam/gdm-password]
mosgalin 3497 0.0 0.0 374316 6052 tty2 Ssl+ 11:34 0:00 \_ /usr/libexec/gdm-x-session --run-script /usr/bin/gnome-session
mosgalin 3499 9.2 0.4 26253544 132644 tty2 Sl+ 11:34 0:21 \_ /usr/libexec/Xorg vt2 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -nolisten tcp -background none -noreset -keeptty -novtswitch -verbose 3
mosgalin 3521 0.0 0.0 475772 14464 tty2 Sl+ 11:34 0:00 \_ /usr/libexec/gnome-session-binary
mosgalin 3541 0.0 0.0 7152 516 ? Ss 11:34 0:00 \_ /usr/bin/ssh-agent /bin/sh -c exec -l /bin/bash -c "/usr/bin/gnome-session"
...
Увы, это проблема драйверов, а не Дебиана.
> Увы, это проблема драйверов, а не Дебиана.Цитирую ваше эээээ.. вранье? или как лучше выразиться:
> Для сильно умных повторяю, что это не так. Ни в федоре, ни в дебиане, ни в бубунте.
Вот выше пример что иксы работают из под пользователя, и драйвер нвидии никак не мешает. Можете сами взять федору или другой диструбутив и убедиться, что это так. И это уже много лет как. Ну нет смысла запускать иксы не из под пользователя. Больше 5 лет назад вышел драйвер нвидии с поддержкой DRM и всего прочего, что нужно для этого.
Так что это косяк чисто дебиановский: с самой нвидией проблем никаких. Смените дистрибутив :)
Дурило, прочитай чейнжлог драйвера своего и посмотри, какие карты это поддерживают и с каких версий. Это старый косяк драйверов, в свободных драйверах всё нормально изначально (у них просто OpenGL глюкает). Чучело.
> Дурило, прочитай чейнжлог драйвера своего и посмотри, какие карты это поддерживают и
> с каких версий. Это старый косяк драйверов, в свободных драйверах всё
> нормально изначально (у них просто OpenGL глюкает). Чучело.Еще раз. На проприетарных драйверах в федоре иксы работают из под пользователя. Выше пруф. По существу комментарии есть?
ps aux | grep -i xorg
root 779 0.0 0.2 201432 16028 tty1 Sl+ May21 0:07 /usr/lib/xorg/Xorg vt1 -displayfd 3 -auth /run/user/118/gdm/Xauthority -background none -noreset -keeptty -verbose 3
root 1389 1.4 1.2 318704 95876 tty2 Rl+ May21 39:52 /usr/lib/xorg/Xorg vt2 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -background none -noreset -keeptty -verbose 3
> ps aux | grep -i xorg
> root 779 0.0 0.2
> 201432 16028 tty1 Sl+ May21
> 0:07 /usr/lib/xorg/Xorg vt1 -displayfd 3 -auth /run/user/118/gdm/Xauthority -background
> none -noreset -keeptty -verbose 3
> root 1389 1.4 1.2 318704
> 95876 tty2 Rl+ May21 39:52
> /usr/lib/xorg/Xorg vt2 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -background
> none -noreset -keeptty -verbose 3Молодец. Теперь покажи дистрибутив. А потом то же самое, но на не-дебиане или убунте, где иксы от пользователя не осилили :)
В феде аналогично. Год назад проверял.
О чём речь, если Невидия пихает блоб в ядро?
Ну пихает, что дальше? Зачем чему-то, рисующему окошки и получающему ввод иметь права рута?
Это про вынос в отдельный сервис. Особого смысла нет, если бекдор в ядре.
То есть ты делаешь бекдоры в иксах, позволяющие поднять привилегии, потому что они могут быть в ядре?
Какое отношение мифический бэкдор в ядре имеет отношение к реальной и эксплуатируемой узявимости в иксах?Вы не различаете kernel mode и user mode (пусть и привелигированый формально в рута, но с точки зрения процессора - непривелигированный)? Почитайте про кольца процессора и прочее для начала. Где код в ядре, а где код в приложении типа иксов, ага.
single user mode
Что single user mode? Каким образом он мешает запускать иксы под отдельным пользователем-нерутом?
потому что многие неразумные просто не способны нормально сконфигурировать права на /dev/dri/card*, и поэтому зачастую Х-сервер идет со взведенным suid битом
Ну, кто-то за 10 лет kernel mode setting не осилил.
Сломали совместимость с i386 - все, уязвимостей нет
Там для macOS. Там в самой операционке убрали поддержку i386.
ANNOUNCE: meson.build, xquartz, xquartz, xquartz, xquartz, xquartz, xquartz, xquartzБудущее наступило. Иксы уже можно сказать на свалке.
Не забудь при этом подпрыгивать и хлопать себя по голове ;)
Какое отношение XQuartz имеет к GNU/Linux?
К тому, что большинство так называемых апологетов GNU/Linux предпочитают работать на Apple/MacOS...
Пруф есть?
Из чувака с ником iPony довольно странный "апологет Linux" by design, не находите? :)
> Из чувака с ником iPony довольно странный "апологет Linux" by design, не находите? :)И то ли дело iZemlin или iRobbins ну или там какой-нибудь ментейнер дебиана типа jmtd@debian.org :)
> Какое отношение XQuartz имеет к GNU/Linux?так в этом и суть. Казалось бы должен открывать изменения по иксам, а там должно быть линуксы на линуксах.
А уже никому оно не надо.
>xquartz, xquartz, xquartz, xquartz, xquartz, xquartz, xquartzПоня,там вообще-то ВЫКИНУЛИ часть кода, имеющего отношение к xquartz.
> Поня,там вообще-то ВЫКИНУЛИ часть кода, имеющего отношение к xquartz.Я в курсе.
Хороший проект, давно пользуюсь.
> релиз X.Org Server 1.20.11, в котором устранена уязвимостьВыфсеврети!! Иксы святые!!11 не то, что вяленныхй
Что за истерика? Везде есть ошибки, а из ошибок проистекают уязвимости. Поэтому и вошёл в моду фаззинг.
Иксы нынче довольно мало кто хочет палочкой тыкать. Код там жутковатый, майнтайнить это мало кто хочет и тем более может, а у полутора землекопов которые так все же могут прорва другой работы по части графики. Вот иксы и выпали из фавора. Де факто пациент последних лет 10+ в коме, на аппарате искусственного жизнеобеспечения. Сам он уже давно не дышит. И кстати питалово этому аппарату обеспечивает шляпа, да еще Пакард иногда по старой памяти. И они таки за 10 лет подзадолбались, питание уже минимальное, лишь бы не сдох совсем пока замену пилят.И дае, если всерьез фаззить иксы, там наверное будет полный пэ. Это древний код, писаный под совсем другие реалии. В тех реалиях вообще не было security in mind.
> Аналогичная проблема также устранена в компоненте xwayland 21.1.1.Это, конечно, не значит, что ошибку не надо исправлять, но xwayland никогда не запускается с правами рута.
Он также не умеет работать в сетевой среде. Медленный и тяжелый.
> Он также не умеет работать в сетевой среде. Медленный и тяжелый.Он сделан специально, чтобы работать в сетевой среде. Ты несёшь какую-то чушь.
Медленный и тяжёлый - да, согласен. Wayland как раз и начали делать, чтобы облегчить. На малинке, например, сеанс Wayland сильно быстрее ворочается.
А всё–таки ИН МАЙ ХУМБЛ ПУМБЛ ОПИНИОН Arcan приятнее иксов и вяленых
это для блохи который?
Вы вообще о чем? Что еще за блохи с лассо?
Не нашёл ни одного комментария про дырявость сей, на которых просто надо уметь писать, поэтому вот.
Хотите переписать иксы со всеми прибабахами на хрусте? Дерзайте, смотрите чтобы пупок не развязался :). Оно видите ли без 9000 костылей и расширений даром никому не вперлось, и кодили это дофейхоа лет. Не особо документируя, так что...
Искусственное дыхание трупу. Качение трупа по полу.А меж тем, сегодня де-факто релиз Fedora 34 с KDE на Wayland. Среди обновлений нарисовался fedora-release-common.noarch v. 34.
Не искусственное дыхание, а новая партия аккумуляторов для UPS'а аппарату жизнеобеспечения, между прочим.
Там такой релиз... В багзилле спрашивают, почему фича не заблокирована существующими проблемами, но ответственные даже в common bugs ничего не занесли. Нуок.
Ну, как тебе сказать, мой анонимный дружок. Аналогия с трупом не совсем корректна. XOrg, скорее, пожилой уважаемый человек, готовящийся уйти на пенсию, где будет тихо доживать свой век.В доказательство тебе ссылка Большую Советскую Энциклопедию: https://linux-hardware.org/?view=os_display_server Правда, тенденция очевидна: ещё месяц назад Wayland был 5%, а год назад 0,5% Такие дела.
Ага, ага давай расскажи... через XWayland все работает, то есть по сути через иксы, а фишечки и рюшечки вейлянд чет не особо кому то нужны
> прекращена поддержка версий macOS 10.3 "Panther", 10.4 "Tiger", 10.5 "Leopard", 10.6 "Snow Leopard", 10.7 "Lion" и 10.8 "Mountain Lion".щедро. сам apple 10.8 уже шесть лет как не поддерживает, сейчас supported только 10.14 и выше.
Пока вяленый обзаведется хоть сколько нибудь нативной поддержкой, к тому времени он уже устареет и все вернуться обратно на иксы
Вопреки болельщикам вайленды, иксы обновляются! Ура, вайленду ещё далеко до иксов, только мечты!