LINUX.ORG.RU

Уязвимость gnome-screensaver в дистрибутиве Ubuntu 7.10


0

0

При запущенном compiz, из-за ошибки в захвате фокуса клавиатуры в gnome-screensaver, пользователь, имеющий физический доступ к машине способен обойти проверку имени и пароля пользователя и получить доступ к системе.

>>> Подробности

Ответ на: комментарий от anonymous

>Еще интересно ведение реестра акционеров с шифрованием данных, управление цепочками поставок etc.

Утипусечки.

anonymous
()
Ответ на: комментарий от anonymous

> Злые вы и эгоисты. Зачем создавать эту гадость, на которой практически нереально срубить денег? Одна надежда на Убунту может ее года через 4 допилят до денежного автомата :( А пока топот, крики и мельтешение.

То есть если не реально срубить денег - то гадость? Если Убунту допилят - то в силу GPL остальные получат эти же наработки. Тогда как продать Убунту дороже, если другие предлагают тоже самое, но дешевле. В общем объяснил не полно - тут RMS надо послушать.

Сила не в деньгах - сила в правде. У кого правда, тот и сильнее.

Мельтешение мешает? А зачем на ЛОР зашел? Мог бы на opennet'е статьи или гентушную вики почитать - там продуктивное общение.

skwish ★★
()
Ответ на: комментарий от generatorglukoff

>замок на корпус

Снимаю заглушки свободных пятидюймовых слотов, просовываю туда руку и, заранее изучив описание материнской платы, наощупь перемыкаю нужную перемычку на ней.

P.S.: да, я уже проверил, что для этого нужно, по крайней мере, чтобы свободен был нижний слот.

anonymfus ★★★★
()

Мне кажется что реально значение новости преувеличено , это ж user-space баг , вот например баги в apache/php/mysql/squid намного важнее , почему новости про них(а баги то есть) редкие , а про всякие phpmyadmin \ gnome-screensaver пишут часто?

fury3
()
Ответ на: комментарий от fury3

>Мне кажется что реально значение новости преувеличено , это ж user-space баг , вот например баги в apache/php/mysql/squid намного важнее , почему новости про них(а баги то есть) редкие , а про всякие phpmyadmin \ gnome-screensaver пишут часто?

а ты хочешь, чтобы apache/php/mysql/squid криво писали / плохо тестили = часто находили баги?

generatorglukoff ★★
() автор топика
Ответ на: комментарий от anonymfus

>>замок на корпус

>Снимаю заглушки свободных пятидюймовых слотов, просовываю туда руку и, заранее изучив описание материнской платы, наощупь перемыкаю нужную перемычку на ней.

+ бритвы в отверстиях свободных слотов.

Я бы поглядел на этот трюк - замыкание перемычки на ощупь через пятидюймовый слот.

В мединституте сразу практику по акушерству зачтут.

anonymous
()
Ответ на: комментарий от anonymous

>А лор посещаю по причине поиска объекта инвестирования

Пацтулом, пеши исчо ;))

ЗЫ: Могешь еще на bash.org.ru зайти ....

sS ★★★★★
()
Ответ на: комментарий от Kaliy

>теперь будем постить каждый баг с bugs.launchpad.net?

нет. с помощью этого бага можно получить доступ в систему (критический).

в данном случае это почти аналогично тому, что если бы при запросе юзера/пароля в консоли с помощью ctrl-c можно было войти в систему. имхо, очень плохо, если вашим компьютером могут воспользоваться посторонние

generatorglukoff ★★
() автор топика
Ответ на: комментарий от skwish

> Сила не в деньгах - сила в правде. У кого правда, тот и сильнее.

Не так это к сожалению в этом мире, а очень жаль...

defmacro
()

Здравствуйте! Я уборщица. Бритвы уже купила. Скажите, где взять описания к материнским платам наших компов в конторе?

anonymous
()

Нормальная уязвимость, иронию уязвленных убунтуйцев нахожу неуместной. Не все выключают рабочие компьютеры, покидая рабочее место, и не у всех на работе встречаются только уборщицы, поэтому не стоит на них так уж зацикливаться.

dm1024 ★★★
()
Ответ на: комментарий от skwish

skwish: Дело в том меценатство это не бизнес, я вкладываю деньги и через некоторое время появляется продукт с открытым исходным кодом. Далее нужен существенный бюджет на рекламу (как прямую так и непрямую). Ок. У продукта появились пользователи. Продукт бесплатен значит деньги на еду, прибыль и возврат инвестиций идет от поддержки. Так как продукт бесплатный и с открытыми исходниками Маша и Федя начинают тоже активно ее поддерживать, а затем Гриша и Алена начинают... мысль улавливаете? При этом у всех них есть бонус! бесплатная реклама, бесплатная программа плюс личные контакты и репутация в своем городе. Дальше сущствует безумное количество вариантов с единственным исходом денег нет. При этом Я_не_против opensource. Я считаю что десктопные приложения не включая приложений с узкой спецализацией должны быть свободны.

Если чесно я устал стилусом набирать текст :-) и засыпаю. Если хоть кому-то интересен этот бред могу написать завтра

anonymous
()
Ответ на: комментарий от anonymous

Правду можно есть, пить и одевать. Правдой можно учить детей в школе и оплачивать стоматологов...

По поводу баша зря иронизируете, спросите лучше сколько было куплено печенюшек на деньги от футболок с ктулху и криведоком :-)

anonymous
()

шо опять?! ИМХО это xargs бажный пакет замейнтейнил!

anonymous
()
Ответ на: комментарий от generatorglukoff

>>"а ты хочешь, чтобы apache/php/mysql/squid криво писали / плохо тестили = часто находили баги?"

http://httpd.apache.org/security/vulnerabilities_13.html
"
    moderate: mod_status cross-site scripting CVE-2006-5752

    A flaw was found in the mod_status module. On sites where the server-status page is 
publicly accessible and ExtendedStatus is enabled this could lead to a cross-site scripting attack.
 Note that the server-status page is not enabled by default and it is best practice to not make this publicly available.
    Update Released: 7th September 2007
"
От 7го сентября, баг в юзаемом не только мной mod_status, достаточно актуально , насколько я помню на лоре еще не освещалось

fury3
()
Ответ на: комментарий от anonymous

>Интересно, сколько времени ещё нужно, чтобы детишки-программисты наигрались с линуксом и забыли эту утопию...

Уязвимость в браузере IE через курсор ani - круто. Есть на свете хоть один формат файла через который еще не ломали вин?

gaux ★★
()

ахренеть, скоро блокноты начнут захватывать ваш компьютер

aliens ★★
()
Ответ на: комментарий от generatorglukoff

> Уборщица, не довольная зарплатой, садится за комп, меня бухгалтерские ведомости и уходит ни в чем не бывало.

Фигасе у вас там уборщицы... У нас максимум на DoS способны...

Да, а отделу кадров низачот за то, что берет на зарплату уборщиц, имеющих финансовое образование и хакерские навыки в компьютерной технике.

eugine_kosenko ★★★
()
Ответ на: комментарий от anonymous

> Еще интересно ведение реестра акционеров с шифрованием данных, управление цепочками поставок etc.

на сайте гугла есть страничка про это. иди уже делай уроки.

anonymous
()
Ответ на: комментарий от anonymfus

> Снимаю заглушки свободных пятидюймовых слотов, просовываю туда руку и, заранее изучив описание материнской платы, наощупь перемыкаю нужную перемычку на ней.

Да Вы, батенька, хакер!..

eugine_kosenko ★★★
()
Ответ на: комментарий от anonymous

> Башорг молодцы, надоело сидеть без денег - привели сайт нормальное состояние и потихоньку зарабатывают.

Да несомненно молодцы башорг. Сидят на своём чудном сайте под ДДоСом идущим с быдловиндузятских машин. Много им за это денег МС даёт?

anonymous
()
Ответ на: комментарий от anonymous

> Так как продукт бесплатный и с открытыми исходниками Маша и Федя начинают тоже активно ее поддерживать, а затем Гриша и Алена начинают... мысль улавливаете?

Низачот по практике ведения бизнеса.

Во-первых, у Маши и Феди, а потом и у Гриши и Алены нет опыта в сопровождении Вашей программы. Вы разработчик, и кто быстрее сможет исправить внезапно обнаруженный косяк -- Вы или упомянутые ЧП? Более того, как Вы думаете, кому потенциальные покупатели будут доверять больше -- Вам или этим мелким ЧП? И наконец, при правильно выбранной лицензии все улучшения, которые все эти М&Ф и Г&А сделают, вернутся к Вам же. А это означает, почти что, халявное улучшение Вашего же продукта.

Отсюда, во-вторых: если Вы рекламируете продукт, а не себя, то Вы, извиняюсь, дурак, а не бизнесмен. Надеюсь, Вам известна такая контора, как 1С? Или, скажем, Макдональдс? Знаете, на чем оно сделали свои деньги? Вы наверное, будете удивлены, но как раз на том, что обучила все эти М&Ф и Г&А, как обращаться с изобретенными бизнес-процессами, как устанавливать, сопровождать и улучшать их продукты. Вот странные люди, правда?

Впрочем, этот пост -- не для специалистов по шифрованным цепочкам поставок в реестрах акционеров. Это для тех, кто по-прежнему любит лапшу на ушах...

eugine_kosenko ★★★
()
Ответ на: комментарий от anonymous

> Правду можно есть, пить и одевать. Правдой можно учить детей в школе и оплачивать стоматологов...

"Не от денег рождается добродетель, а от добродетелей бывают у людей деньги и все прочие блага, как в частной жизни, так и в общественной." (C)

eugine_kosenko ★★★
()
Ответ на: комментарий от anonymous

>> blaster999: денег всегда мало ;-) Я бесплатно оставляю комменты. А лор посещаю по причине поиска объекта инвестирования и просто посмеяться над перекидкой какшками в спорах, что лучше kde с неработающей переключалкой или gnome со своими виджетами :-)

> Какое, на хрен, инвестирование? Тут что, твои сверстники сидят - так мозги пудрить? Тебе 15 лет (если не по паспорту, то по развитию), интересы и развлечения - соответствующие. "Бизнесмен", блять.

Довольно странны ваши слова. Трата своего личного времени на еблю с линухом, своего здоровья, бессонные ночи на поиск, почему не работает переключалка - это что, не инвестирование? Инвестирование в чистом виде, причем в сумме - огромных средств, которые можно было потратить на более другие дела.

xintrea
()
Ответ на: комментарий от anonymous

>+ бритвы в отверстиях свободных слотов.

тогда уж сразу мини-гильотину

maraudeur
()
Ответ на: комментарий от xintrea

>Довольно странны ваши слова. Трата своего личного времени на еблю с линухом, своего здоровья, бессонные ночи на поиск, почему не работает переключалка - это что, не инвестирование?

Обычно нет. Это вид досуга, способ получения сексуального удовлетворения. Зоофилов "инвесторами" ведь не повернется язык назвать? А тот, кто "трахается с линуксом", от них и некрофилов ничем не отличается.

Другой вопрос, что количество "трахающихся" исчезающе мало. Ну примерно как процент настоящих извращенцев среди всех людей, живущих половой жизнью. Тех, кто в линуксе работает, а не "играется" все-таки гораздо больше.

anonymous
()
Ответ на: комментарий от eugine_kosenko

Дай угадаю, чья цитата. Ваня, из 72 палаты, Кащенко?

PS Пора взрослеть. Деньги бывают у тех, кто их пытается заработать, а не от всяких мифических добродетелей.

anonymous
()
Ответ на: комментарий от anonymous

> Смотрел и Ананас. Это немного не интересная тема так как для конкуренции с 1с нужно выбросить огромное количество денег на инфраструктуру и раскрутку, причем именно выбросить. Я не знаю как заполняют в РФ. В Украине рынок поделен примерно 50/50 между Qbpro и md-office.

А вот пошел ты на GUI, пардон мой французкий. В Украине рынок поделен 99.8 на 1С, которая прекрасно адаптировалась к той части украинского законондательсва, которая касается бухучета, и 0.2 iceB, которую все-таки удалось пропарить. ОЧЕНЬ бы хотелось, чтоб авторы Ананаса сделали простой (да вспомните ж .po-файлы как пример!!!) фреймворк для простой адаптации к, например, законодательству страны: админ-кернелкодер не справится с законодательством, а бухгалтер - с правкой кода.

cascade
()
Ответ на: комментарий от lester

>Найдена уязвимость - пользователь имеющий физический доступ к компьютеру может сесть за него!

Убунта во всех версиях пускает к руту без пароля. Достаточно выбрать single user mode в загрузчике.

record ★★★★★
()
Ответ на: комментарий от eugine_kosenko

> И наконец, при правильно выбранной лицензии все улучшения, которые все эти М&Ф и Г&А сделают, вернутся к Вам же. А это означает, почти что, халявное улучшение Вашего же продукта.

Они не будут ничего улучшать. Зачем им это? Пользуйся готовеньким и получай за это деньги.

> если Вы рекламируете продукт, а не себя, то Вы, извиняюсь, дурак, а не бизнесмен.

Если продукт один, то да. А если их много?

> Надеюсь, Вам известна такая контора, как 1С? Или, скажем, Макдональдс? Знаете, на чем оно сделали свои деньги? Вы наверное, будете удивлены, но как раз на том, что обучила все эти М&Ф и Г&А, как обращаться с изобретенными бизнес-процессами, как устанавливать, сопровождать и улучшать их продукты. Вот странные люди, правда?

1С, например, тем кто обучился у них даёт различные скидки. В случае с опсорсом никаких скидок предложено не будет, М&Ф и Г&А итак ничего не платят разработчикам (кроме как за обучение, но оно нужно только один раз).

Разработчики обучили М&Ф. М&Ф тоже начали предлагать услуги по обучению, но дешевле (на стоимости не сказывается стоимость разработки). Куда пойдут Г&А? У них нет стимула идти к разработчикам как в случае с 1С.

Макдональдс вообще получает деньги за свою торговую марку. Т.е. если фастфуд хочет называться Макдональдс, то он платит компании немалые деньги. Как это применить в случае опсорс разработки?

anonymous
()

Мде.... кде, как я понимаю, лишен этой проблемы?

schakal
()

> При запущенном compiz [...] пользователь, имеющий физический доступ к машине способен обойти проверку имени и пароля пользователя и получить доступ к системе.

Одного не понял. Если запуцщен compiz, значит, пользователь уже зашел в систему и запустил Иксы. Как так "обойти проверку имени и пароля пользователя"?

VladimirP ★★★★
()
Ответ на: комментарий от anonymous

> Интересно, сколько времени ещё нужно, чтобы детишки-программисты наигрались с линуксом и забыли эту утопию...

Как у них пройдут прыщи и онанизм, так и забудут.

anonymous
()
Ответ на: комментарий от skwish

> Вот вы, типа, инвестировать хотите : возьмите разработчиков, забашляете сумму - пусть делают OpenSource систему вас устраивающую.

Невыгодно. Чтобы оно было не хуже того же 1C надо вбухать чёрт знает сколько денег (сильно больше чем за лицензию на ту же 1С) и ждать чёрт знает сколько времени.

Поэтому если опенсорсники чего-то там хотят они должны бесплатно продемонстрировать что у них есть что-то уровня 1С, и потом если понравится им за него заплатят. Опенсорсники такое обеспечить не могут физически, а людям всё равно надо работать. В итоге пришли к тому с чего начали. Опенсорс - игрушка для красноглазых детей, и не более того.

anonymous
()
Ответ на: комментарий от anonymous

> Тех, кто в линуксе работает, а не "играется" все-таки гораздо больше.

За пределами серверов, в линуксе таких как раз подавляющее большинство. В силу понятных причин.

anonymous
()
Ответ на: комментарий от skwish

>Сила не в деньгах - сила в правде.

"В Ньютонах сила" (С) учебник физики за 7-й класс.

Кстати, в KDE+Debian такого бага не наблюдалось - проверил специально. Мораль: убунта - недодебиан.

Praporshik ★★
()
Ответ на: комментарий от gaux

> Уязвимость в браузере IE через курсор ani - круто. Есть на свете хоть один формат файла через который еще не ломали вин?

Чудесная чтука, сам пробовал эксплойт. Открываешь страницу, тынц, ИЕ выпадет в осадок и запускается калькулятор... Но это ведь пробнывй эксплойт. А шо если вместо калка запустилось шото по хлеще???

SilentLexx
()
Ответ на: комментарий от anonymous

Чет вы фигней занимаетесь
Во первых, кто вас заставляет делать программы под open-sources, вот Oracle и SAP R3 делают проги под линукс при чем не opensource, а за деньги и не че?
Во вторых, даже делая аналог под windows у вас очень мало шансов потеснить 1С. Так что ОС тут не причем.

И вообще чет вы ерундой занимаетесь.
Вот вам объект инвестирования: и гуляйте отсюда.
За последние полтора-два месяца возник дефицит цемента, в плоть до того что хотят наладить поставки из Турции. Вот и займитесь им. Сделаете доброе дело если предложите большое кол-во цемента по сходной цене.

ilnurathome
()
Ответ на: комментарий от Aceler

>А ничо, у нас фирма деньги зарабатывает на том, что переводит бухгалтерию на Linux? Хочешь посмотреть на бухгалтера в Linux - приходи к нам. Хочешь услышать коронную фразу "Лешь, а ты когда мне Linux поставишь?" - приходи к нам.

Я приду! Куда иддти?

SnoWLight
()
Ответ на: комментарий от anonymous

>blaster999: денег всегда мало ;-) Я бесплатно оставляю комменты. А лор посещаю по причине поиска объекта инвестирования и просто посмеяться над перекидкой какшками в спорах, что лучше kde с неработающей переключалкой или gnome со своими виджетами :-)

Да прикольно поржать над тобой!

SnoWLight
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.