URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129247
[ Назад ]
Исходное сообщение
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранением 6 уязвимости "
Отправлено opennews , 14-Дек-22 09:13 
Опубликованы корректирующие выпуски X.Org Server 21.1.5 и xwayland 22.1.6, DDX-компонента (Device-Dependent X), обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранено 6 уязвимостей, которые потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58321

Содержание
Сообщения в этом обсуждении
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 09:19 
О нет, в аппе, стоящей на 99% линуксов, опять куча сишных дыр с потенциальным RCE из-за проблем  с памятью!
А, впрочем ничего нового...
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 09:31 
> стоящей на 99% линуксов

а говорили, что wayland уже у всех давно, а Х11 - deprecated

"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 09:39 
В окружении этих людей может и в самом деле у большенства Вэйленд установлен,но за пределами междусобойчика культистов Иксы пользуют как пить дать.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 13:57 
В 11-ом дебиане КДЕ по дефолту используется X11, Wayland сессия kwin даже не ставится бтв
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 15:34 
ну лично я сижу на 10м дебиане с матэ и иксами, меня всё устраивает
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 22:07 
Ну так дебиан = древний софт.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Анонин , 14-Дек-22 09:55 
Даже для вейланд окружения нужно тащить этот легаси мусор, потому что куча разрабов ленивые задницы.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 14:29 
Обратная совместимость не нужна. Пусть переписывают под каждый композитор вайланда
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Анонн , 14-Дек-22 10:07 
А давайте пройдемся по фиксам и попробуем оценить качество этого ...

51eb63b0ee1509c6c6b8922b0e4aa037faa6f78b
+ if (stuff->detail > 255)
+        return XIAlreadyGrabbed;
Просто забыли проверочку на переполнение... ну, бывает, чо.

b79f32b57cc0c1186b2899bce7cf89f7b325161b
- if (!onoff)
+ if (!onoff) {
     tpn->client = NULL;
+    FreeResource(tpn->id, XvRTVideoNotify);
+ }
Забыли очистит чуток ресурсов. Все равно у юзеров их много.

842ca3ccef100ce010d1d8f5f6d6cc1915055900
- FreeScreenAttr(pPriv->attr);
+ FreeResource(pPriv->attr->resource, AttrType);
А тут молодцы - ресурсы почистили! Но не те... но уже прогресс!

b8a84cb0f2807b07ab70ca9915fcdee21301b8ca
+ if (rc != Success)
+        return rc;
Забыли проверить "а не пошло ли что не так". Дважды...

ccdd431cd8f1cabae9d744f0514b6533c438908c
  free(dst->names->radio_groups);
+ dst->names->radio_groups = NULL;
Если забыть заналить переменную после free, то это может отстрелить ногу по самую ж. Но так же интереснее!

В общем мде... болгары восхитились божественным качеством кода иксов и дидими которые их писали.

"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Шарп , 14-Дек-22 10:11 
Зачем ты так бьёшь палками дедов?
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Анонн , 14-Дек-22 10:20 
Я же не бью, так просто зашел их палочкой потыкать. А чего они говнокодят в самом деле?!
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 10:47 
А вялый на чём написан?
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 12:18 
На xml
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 12:25 
Так это фиксы для кого надо фиксы, а не чтобы работало.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 14:38 
И так сойдёт!
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 17:47 
А чего сам не исправил? Ждал пока через 15 лет кто-то другой баг найдёт, а потом пристроить эту простыню? А как же "1000 глаз," Шваб0дный код, всё сказки. Если здесь никто код не мониторит, с чего в других программах на других языках будут исправлять?) беЖ0пашность в голове и квалификации, а не в языке программирования.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 18:41 
Во всём виноваты террористы из редхата. Поэтому одних мозгов тут недостаточно.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено keydon , 14-Дек-22 22:07 
"Критикуешь - предлагай" как говорится
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 15-Дек-22 02:50 
А что ты забыл посмотреть дату написания этого кода? И какое отношение к нему имеют дидими?
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Admino , 15-Дек-22 10:52 
Простите, а кто такие дидими? Гугл не в курсе.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Шарп , 14-Дек-22 10:10 
>use-after-free

rust

"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено 244 , 14-Дек-22 10:36 
C++
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено pashev.ru , 14-Дек-22 10:48 
Lisp: https://git.pashev.ru/mendeleev/tree/mendeleev.lisp
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 10:55 
почему этот клоун до сих пор не фильтруется?
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 12:26 
А кто-то удивляется что Вейленд не в проде, тут даже в иксами то до конца не могут разобраться.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Антоннн , 14-Дек-22 13:43 
Но в проде графич оболочек вообще никто в здравом уме не ставит.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Anonymus , 14-Дек-22 14:43 
вейленд не в проде... а зачем ему быть в проде?
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Admino , 15-Дек-22 10:52 
Вейленд давно уже в проде.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 13:01 
Столько воя как всегда - 0 people hacked.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 14-Дек-22 16:11 
А кто будет кого хакать? Одни 0.5% хакнут другие 0.5%, а после обеда поменяются? Смешно. Хакать надо виндовс и макос, там все бабки. А с линукса максимум ключи аккаунта разраба от AWS, да и там полиси всё закрыто, и больше t1.micro не дадут.
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 15-Дек-22 12:31 
иксы стали еще лучше!
"Обновление X.Org Server 21.1.5 и xwayland 22.1.6 с устранени..."
Отправлено Аноним , 16-Дек-22 13:43 
Пользуюсь версией 1.20.7. На этой страничке:

https://download.nvidia.com/XFree86/Linux-x86_64/435.17/READ...

Рекомендуют вот этот репозиторий:

https://launchpad.net/~aplattner/+archive/ubuntu/ppa/

Поставил иксы оттуда. И вот проблема: утекают они. Через неделю могут отожрать 30% оперативки.

Жалею, что обновлялся с версии 1.16. Там такого не было

Может с этими патчами утечки закончатся...