Критическая уязвимость в Xpdf

KPDF ???

А нам пох, мы используем evince (а к poppler, я так понял, уязвимость не применима)! И acroread в тех случаях, когда у evince проблемы.

lol

ps evince наше все

evince

Какой ужас. Я просто в панике!

и что мне теперь делать?

Красноглазые перестают читать pdf в xpdf какой ужас , теперь только консоль

Всё, капец лялиху. :)

А нам пох +). читали в xpdf читаем в xpdf и будем читать в xpdf +).

Не использовал его ни разу в жизни. Для PDF есть Kpdf и Acrobat Reader.

>Для PDF есть Kpdf и Acrobat Reader.

Глючные тормозные поделия в топку, пьяные аналитики ЛОР.

> Для PDF есть Kpdf

Сделанный на основе XPDF. Он тоже уязвим?

Хм, а может и вправду хваленая безопасность линукса в частности и опенсорса в целом зиждется на не особенной распространенности?

> Не использовал его ни разу в жизни. Для PDF есть Kpdf и Acrobat Reader.

Дело в том, что всякие kpdf и evince используют poppler, который базируется на xpdf. Там эта уязвимость, скорее всего, тоже есть.

>Злоумышленник может ... выполнить произвольный код на системе.

А _под_ системой тоже может?

>evince

Оторвите его от Gnome для начала...

Кстати, GTKшники прогнулись под Gnome: вызов Evince для просмотра PS hardcoded в новой системе печати GTK... Я в шоке. Иное необходимо руками в gtkrc вписывать...

В нарушение традиции прошел по ссылке.

> Наличие эксплоита: Нет

Ждем ебилдов?
Или патрега?

Хе-хе, ну путь попробуют, с selinux-ом то. Стек неисполняемый, куча неисполняемая. Ну-ну.

Ох уж этот неуловимый Xpdf.

тру линуксоиды используют только plaintext

ага, а плейбой и хастлер как читать будешь?

kpdf - зэбэст вашу мать!

Чего-то я не понял: xpdf уже два года как работает через poppler и сам в pdf-ки не лезет. Так что одно из двух или уязвимость в poppler (тады можно кричать караул - он кругом используется начиная с CUPS) или они откопали дерьмо мамонта.

Внимательно читаешь написанное на секъюнии (http://secunia.com/secunia_research/2007-88/advisory/ ).

Потом лезешь в их рассылку, находишь ветку, посвящённую этой уязвимости, представляшься автором одной из прог, юзающих Xpdf. Говоришь, что тебе нужен эксплоит или просто какой-нибудь пример и просишь исследователя, обнаружившего уязвимости, дать его тебе.

> тру линуксоиды используют только plaintext

... и выходят в сеть только на https://127.0.0.1...

Любопытно таки взглянуть на эксплоит

>выполнить произвольный код на системе. Исправления к уязвимостям не существует в настоящее время.

неправильный ответ. Никакого произвольного кода выполниться не сможет (точнее это выполнение ни к чему не приведет) при использовании SELinux или подобного.

Так что пох.

>Чего-то я не понял: xpdf уже два года как работает через poppler и сам в pdf-ки не лезет. Так что одно из двух или уязвимость в poppler (тады можно кричать караул - он кругом используется начиная с CUPS) или они откопали дерьмо мамонта.

Заканчивая CUPS: сравнительно редко приходится печатать PDF напрямую через lpr...

А дерьмо мамонта зовётся копролит =)

Надо было к этой новости прикрепить описание в PDF формате.

по такому случаю можно фильтр pdftops стереть, либо строчку

"application/pdf application/postscript 33 pdftops"

в /etc/cups/mime.convs закомментировать.

Прочитал внимательно их сообщения.
Попытаюсь повторить их эксплоит, иначе какой же я тестер...

acroread --help

...
-toPostScript [options] pdf_file ... [ps_dir]
-toPostScript [options] -pairs pdf_file_1 ps_file_1 ...
-toPostScript [options]
Converts the given pdf_files to PostScript.
...

Можно на его основе фильтр склепать =) Только не спрашивай, зачем, - сам не знаю =)

пока все на жабе не перепишут так и будем троянов в документах ловить

Какой ужас! Нужно срочно клепать експлойт и генерить вредоносные PDF! Берегись, юзер, скоро начнётся полный атас ):-D

Какой кошмар. А про уязвимость в *.sh, *.x они знают? "Злоумышленник может с помощью специально сформированного *.sh файла выполнить произвольный код на системе."

Угу, перепишем ведро на жабе?

ЛОГОПЕД!!! Бери этого тоже!

>>Злоумышленник может ... выполнить произвольный код на системе.

>А _под_ системой тоже может?

Иными словами он может засунуть свой грязный вонючий код??? о_О омж, прям испугался... кпдф - фсе наше)))

>>тру линуксоиды используют только plaintext
> ага, а плейбой и хастлер как читать будешь?
asci графика - фсе наше) тру никсоводы играют в ut через libcaca =)

> Какой кошмар. А про уязвимость в *.sh, *.x они знают? "Злоумышленник может с помощью специально сформированного *.sh файла выполнить произвольный код на системе."

ага, а при помощи специального скомпилированного ядра они могут, не дай бог, загрузить систему....

КДЕшнеги быстро порадовались и пошли пересобирать kdelibs+kdebase+kdegraphics.

уже второй фич-реквест к evince - возможность изменения цветовой схемы документа. Куда бы его запостить?

всё. срочно откатываюсь на оффтопик…

> >evince

> Оторвите его от Gnome для начала...

Так оторвали же уже давно... В генте по крайней мере. USE=-gnome emerge evince

>Так оторвали же уже давно... В генте по крайней мере. USE=-gnome emerge evince

Фиганьки, всё равно требует кучу либ.

А исправление ошибки будет?

ждем эксплойт

>А исправление ошибки будет? Завтра если только, а то сегодня устал очень

Что скажут тру линуксойды ? Какую официальную отмазку готовит патрик?

> ЛОГОПЕД!!! Бери этого тоже!

успокойся, кричать не надо. рабочий день уже закрнчился. Завтра с утра придет логопед, и всех заберет.