Множественные уязвимости в Xorg-server

xorg'окапец? Метки рулят)

equery l xorg-server [ Searching for package 'xorg-server' in all categories among: ] * installed packages [I--] [ ] x11-base/xorg-server-1.3.0.0-r6 (0)

и ниипет...

Какое щастье, что на ATI не работает RENDER...

говорила мне мама -- Xсы для слабаков а я не верил =(

Пошел обновляться...

Кстати, дядя, ты в общем-то нагло гонишь, актуальный glsa-check на актуальном срезе портежа выдаёт 6 печатей чистоты, и я б на месте Шомана тебя б зобанил...

Что какой-то идиот ещё пользуется иксами на сервере ? А DDoS атаки на мой ноутбук не предвидится.

Почему их так долго искали?
Xorg - хрень, работающая от рута. В нём сам Бог велел дыры искать.

> Что какой-то идиот ещё пользуется иксами на сервере ?

А в офисе? Когда надо жёстко ограничить локальных/внутрисетевых перемещаемых пользователей? Или в офисе иксы тоже не нужны?

жестоко...

>Что какой-то идиот ещё пользуется иксами на сервере ? А DDoS атаки на мой ноутбук не предвидится.

Откройте для себя Терминал клиенты хотя бы!

>Откройте для себя Терминал клиенты хотя бы! Вы имели ввиду Xorg в качестве сервера для терминал клиентов. Да есть такое дело.

>А в офисе? Когда надо жёстко ограничить локальных/внутрисетевых перемещаемых пользователей? Или в офисе иксы тоже не нужны?

А в офисе нужно иметь файрвол запрещающий доступ интернет-быдла к твоей локальной сетке.

твоя мама - бородатый админ?

>твоя мама - бородатый админ? я такое только в цирке видел

моя мама - бородатый админ,задавайте вопросы

кто бы сомневался... локальных уязвимостей вообще море.

Ну всё, теперь мой десктоп взломают ксакепы :-(

Ох, итить! Нехорошо.

< 1.3.0.0-r6 ?

Это где такое г... мамонта держат ?

Xorg решето! все дружно переходим на XFree86, он уж по надежнее

[root@XXX ~]# X -version XFree86 Version 4.6.0

>> < 1.3.0.0-r6 ?

>Это где такое г... мамонта держат ?

Пардон? Debian/Etch - вообще 1.1.1. Жалоб нет. Хотя да, я и не использую никаких там компизов, прозрачностей, в игры не играюсь. Обычное 2D. Да хоть XFree86 3.3.6. Если работать можно, то и аминь.

> < 1.3.0.0-r6 ?

> Это где такое г... мамонта держат ?

Это был сарказм?

так лор тот ещё цирк. взять хотя бы того анонимуса который фотожоп как сапр использует.

>говорила мне мама -- Xсы для слабаков а я не верил =(

воистину для слабаков! Консоль юзают только ленивые админы, а тру-пользователи подключаются к терминалу через libastral.so, записанную на дискету, лежащую в кармане пользователя!

Из соседней ветки. А вот если Xorg переписать на Java - уязвимостей ведь не будет? И прирост скорости ощутимый. А главное таким большим проектом может по-нормальному справиться только Java. Как идея?

>исполнение произвольного кода через расширения... Security

:)))

http://gitweb.freedesktop.org/?p=xorg/xserver.git;a=shortlog;h=server-1.4-branch

тухлый баян, закапывайте

>А вот если Xorg переписать на Java - уязвимостей ведь не будет?

Ви вправду думаете, что в программах на яве не находят уязвимости? =)

>И прирост скорости ощутимый.

:)))

>Как идея?

Аффтар, не пешы больше.. :)

> Ви вправду думаете, что в программах на яве не находят уязвимости? =)

Меня уверили, что она переваривает любой код. Хоть макаку за комп посади - а работать будет. Итого, в день ветка бананов на программиста-макаку. Значительно дешевле всяких си программистов. Экономическая целесообразность на лицо.

> А вот если Xorg переписать на Java - уязвимостей ведь не будет? И прирост скорости ощутимый

откуда???

>RENDER — DoS

Хммм.....

>Меня уверили, что она переваривает любой код. Хоть макаку за комп посади - а работать будет.

Вас таки жестоко обманули.. ;)

Интересно, куда же вы все ходите обновляться...

>Интересно, куда же вы все ходите обновляться...

А никуда, это видимо те кто даже новость прочитать не осилил.

>г... мамонта

Ты мамонта господином называешь? Жесть!

Из дебиановской рассылки пришло письмо. тогда же и xorg обновился
Так что новость для тех кто обновляет дистр. вручную, ну там Патреги всякие.


Date: 	Thu, 12 Jun 2008 00:16:09 +0200 (CEST)  (01:16 IDT)


------------------------------------------------------------------------
Debian Security Advisory DSA-1595-1                  security@debian.org
http://www.debian.org/security/                          Thijs Kinkhorst
June 11, 2008                         http://www.debian.org/security/faq
------------------------------------------------------------------------

Package        : xorg-server
Vulnerability  : several
Problem type   : local
Debian-specific: no
CVE Id(s)      : CVE-2008-1377 CVE-2008-1379 CVE-2008-2360 CVE-2008-2361
                 CVE-2008-2362

Several local vulnerabilities have been discovered in the X Window system.
The Common Vulnerabilities and Exposures project identifies the following
problems:

Пользуюсь XFree 4.4 - проблем нет никаких

>Пользуюсь XFree 4.4 - проблем нет никаких

Ну и как оно в загробном мире?

хоть и обновляюсь каждый день, но разве на XFree 4.4 fluxbox/Gnome/KDE как то по другому работают?

Ну и когда все пофиксят ? Предчувствую, что багов там ещеееее.

>разве на XFree 4.4 fluxbox/Gnome/KDE как то по другому работают?

Да ну что Вы! Осталось просто вкрутить это в любой актуальный дистр и заставить все работать ;)

Я вижу просто такую логическую цепочку: XFree4.4 -> ОС года эдак 2004 -> Ныне оно RIP...

А меня достал soft lockup с отваливанием fglrx и мертвым подвисанием.

Причем этот soft lockup зависит от фаз луны, он то проявляется почти сразу после загрузки, то после недели безперебойной работы.

Неужели нельзя что нибудь сделать, что бы ядро при этом не умирало намертво?

ЗЫ я злой, очень злой, особенно что более менее стабильно работают только 2.6.24 + fglrx-8.49, а 2.6.25 + fglrx-8.49, или + fglrx-8.50 выдает
kernel BUG at security/selinux/hooks.c
invalid opcode: 0000 [#1] SMP
и через некоторое время мертвый завис
noacpi делать не хочу, как некоторые предлагают, потому что в связке 2.6.24 + fglrx-8.493 сносно работает засыпание, плюс на датчики температуры завязан cpufreqd, от ondemand тоже отказываться не хочу, экономия энергии важнее.

ну ты что паникуешь, разве не знаешь что АТИ это круто?

В юзерспейс его. А проприетарные драйвера - в топку.

> Множественные уязвимости в Xorg-server

> generatorglukoff (*) (20.06.2008 19:04:39)

Автор, признавайся, ты нагенерил глюки в икс-орге? %)

/me вспоминает changelog неделю назад обновлённого xorg'a...

> А вот если Xorg переписать на Java - уязвимостей ведь не будет? И прирост скорости ощутимый. А главное таким большим проектом может по-нормальному справиться только Java. Как идея?

Дорогой, ты сначала перепиши многочисленные с-шные либки, которые Великая Неломаемая Ява юзает, на чистой яве.

> Xorg - хрень, работающая от рута. В нём сам Бог велел дыры искать.

Это с чего она от рута работает? Я startx набираю от обычного юзера всегда. Или Вы просто всегда под рутом сидите?

> Это с чего она от рута работает? Я startx набираю от обычного юзера
всегда. Или Вы просто всегда под рутом сидите?

Сюда смотри.
teddy@toshiba32~$ ls -l `which X`
lrwxrwxrwx 1 root root 4 2008-05-02 15:14 /usr/bin/X -> Xorg
teddy@toshiba32~$ ls -l `which Xorg`
-rwsr-xr-x 1 root root 1651720 2007-12-14 13:42 /usr/bin/Xorg

и много думай. :) Начни с ответа на вопрос, что означает буква s в 
строке прав доступа для Xorg.

Потом смотри сюда

kot@toshiba32~$ ps aux | grep X
root      5568  1.6  3.6 106128 90144 tty7     Ss+  22:09   1:16 X :0 -auth /home/teddy/.serverauth.2332
root      5574  0.0  3.6 106128 90144 tty7     S+   22:09   0:00 X :0 -auth /home/kot/.serverauth.2332

и думай опять. :)