LINUX.ORG.RU

Множественные уязвимости в Xorg-server

 ,


0

0

* CVE-2008-1377: исполнение произвольного кода через расширения Record и Security
* CVE-2008-1379: численное переполнение в расширении MIT-SHM — чтение памяти любого процесса
* CVE-2008-2360: численное переполнение в расширении RENDER — выполнение произвольного кода
* CVE-2008-2361: численное переполнение в расширении RENDER — DoS
* CVE-2008-2362: численное переполнение в расширении RENDER — выполнение произвольного кода

>>> Gentoo GLSA

у меня вопрос к джава-кулпрограммерам, с предложениями переписпть код на этот язык: народ, вы кроме джавы знаете чего другое? си с плюсами, к примеру? задавались вопросом, почему дрова на джава не пишут?

Karbofos
()
Ответ на: комментарий от Karbofos

Да успокойтесь вы, товарисч просто пошутил в контексте обсуждения из соседней новости про GPL жабу.

Sidrian
()
Ответ на: комментарий от anonymous

gentoo-sources-2.6.25-r5

ati-drivers-8.501

ВСЕ РАБОТАЕТ.

P.s. Когда ебилд на ати обновить успели?

я его ток вчера утром отправил...

Slackware_user ★★★★★
()
Ответ на: комментарий от sdio

>>Так что новость для тех кто обновляет дистр. вручную, ну там Патреги всякие.

Хе хе, повеселил. "Патреги", бугага, зачот. :D

anonymous
()

Нехер делать, что ли, такие новости постить и подтверждать?

Это уязвимости для релиза 1.4.1, в то время как 1.4.2 давно как вышел.

Запостите новость о дырках в ядре 2.6.16.1 и обсасывайте, смакуйте.

Дебилы тупые, .ля!

anonymous
()

что-то я не понял а как же все эти защиты памяти типа NX bit? Они же и нужны для обороны от таких ошибок!

anonymous
()
Ответ на: комментарий от Karbofos

Я знаю не только жабу

С другой стороны получается же на мобильной жабе писать быстрые приложения на совсем дохлом железе?

anonymous
()
Ответ на: комментарий от Uncle_Theodore

Ладно, признаюсь: я не прав. Хотя на самом деле не понятно зачем так небезопасно сделано.

tot-to
()

X -version X.Org X Server 1.4.0.90 Release Date: 5 September 2007 X Protocol Version 11, Revision 0 Есть подозрение на утечку памяти...

psycholog
()
Ответ на: комментарий от anonymous

> А меня достал soft lockup с отваливанием fglrx и мертвым подвисанием. Причем этот soft lockup зависит от фаз луны, он то проявляется почти сразу после загрузки, то после недели безперебойной работы.

А винда с ATI работает быстро и недежно - вот она настоящая ОС, написанная профессионалами, а дырявое падучее глюкалово написанное американскими и финскими студентами. :)

anonymous
()
Ответ на: комментарий от tot-to

> Это с чего она от рута работает? Я startx набираю от обычного юзера всегда. Или Вы просто всегда под рутом сидите?

Ламо, иди учи man suid у /usr/bin/X.

anonymous
()
Ответ на: комментарий от anonymous

а чё, у иксов суид какой-то особенный? о_О

anonymous
()

bash-3.2$ X -version

XFree86 Version 4.5.0
Release Date: 16 March 2005
X Protocol Version 11, Revision 0
Build Operating System:NetBSD/i386 3.1 - The NetBSD Foundation, Inc.

o_0

BuG2BuG
()

Xorg не нужно

anonymous
()

XDirectFB наше фсио!

anonymous
()
Ответ на: комментарий от Nxx

>Ха-ха. Пишите дальше на Си.

Это каким надо быть имбецилом, чтобы демоны писать на яве??? Даже в висте все системные службы на сях написаны.

anonymous
()
Ответ на: комментарий от anonymous

>С другой стороны получается же на мобильной жабе писать быстрые приложения на совсем дохлом железе?

В мобильных устройствах виртуальная машина явы зашита в железе, с некоторой натяжкой можно сказать, что для них ява - это ассемблер.

anonymous
()
Ответ на: комментарий от anonymous

>А винда с ATI работает быстро и недежно - вот она настоящая ОС,

Бывает что и винда медленно работает с некоторыми видеокартами.

>а дырявое падучее глюкалово написанное американскими и финскими студентами. :)

Xorg не студентами писАлся. Его разрабатывает консорциум из нескольки компаний.

anonymous
()
Ответ на: комментарий от anonymous

>В мобильных устройствах виртуальная машина явы зашита в железе, с некоторой натяжкой можно сказать, что для них ява - это ассемблер.

anonymous (*) (22.06.2008 11:30:14)

А Вы ничего не путаете? Kvm для мобильников реализована в виде приложения и находится на флеш-памяти мобильника

anonymous
()
Ответ на: комментарий от anonymous

Поддержу анонимуса с вопросом про NX-bit. Большинство современных процессоров поддерживают защиту от выполнения страниц памяти данных и от изменения страниц памяти кода программы. Но почему в X-сервер опять ошибки переполнения буфера? Неужели Linux-ядро не умеет пользоваться NX bit?

Eugeny_Balakhonov ★★
()
Ответ на: комментарий от Eugeny_Balakhonov

некоторый софт требует исполняемого стека для нормальной работы.

cobold ★★★★★
()

"А! Как страшно жить."

sudo telinit 3

Всё - уже не так страшно.

sudo telinit 0

Уже совсем не страшно.

marsijanin ★★
()
Ответ на: комментарий от anonymous

> Это уязвимости для релиза 1.4.1

Это уязвимости для релиза 1.3.0... :)

cruxish ★★★★
()
Ответ на: комментарий от anonymous

> дырявое падучее глюкалово написанное американскими и финскими студентами.

Это ты о Catalyst aka fglrx? Думаю, там всё-же индусы... :)

cruxish ★★★★
()
Ответ на: комментарий от cruxish

> Это ты о Catalyst aka fglrx? Думаю, там всё-же индусы... :)

Да, индусы-линуксоиды ничего толком написать не могут, в о время как индусы-виндузятники написали нормальные драйвера. А может причина в другом - в кривой архитектуре линукса, который только ядро, умеет работать только с текстовой консолью, воплощая устаревшие принципы UNIX с полным забитием на планирование архитектуры(нестабильное API), и к которому графика и мультимедия прикручены через задницу дикими костылями(в итоге то звуковое приложение блокирует звуковую плату, то tvtime не может поделить xv с mplayer)?

anonymous
()
Ответ на: комментарий от Eugeny_Balakhonov

>Но почему в X-сервер опять ошибки переполнения буфера? Неужели Linux-ядро не умеет пользоваться NX bit?

Он не во всех процессорах.

jackill ★★★★★
()
Ответ на: комментарий от Eugeny_Balakhonov

Linux или BSD Больше сцуко не пи*ди. Запускаешь ты Xorg И система сразу в морг!

anonymous
()
Ответ на: комментарий от anonymous

> До чего тупые тролли пошли, пездец просто. :( Поскорей бы новый учебный год начался..

В школу, быдло. И не забывай повторять мантры "консоль рулит и ниипет" и "stable api is a nonsense".

anonymous
()

Не знаю. Использую Xorg, никаких проблем. Правда 3х-мерные рабочие столы не использую

anonymous
()
Ответ на: комментарий от anonymous

>Да, индусы-линуксоиды ничего толком написать не могут, в о время как индусы-виндузятники написали нормальные драйвера. А может причина в другом - в кривой архитектуре линукса, который только ядро, умеет работать только с текстовой консолью

Ядро никакой пользовательский интерфейс не должно предоставлять в принципе.

>, воплощая устаревшие принципы UNIX с полным забитием на планирование архитектуры(нестабильное API), >и к которому графика и мультимедия прикручены через задницу дикими костылями

Это давно придуманная и стандартизированная вещь

>(в итоге то звуковое приложение блокирует звуковую плату, то tvtime не может поделить xv с mplayer)? anonymous (*) (22.06.2008 13:46:32)

Ну и что? Блокирование звука встречал в виндоусХР. А другого варианта в принципе и не может быть - или звуковая система должна производить наложение звуков и воспроизведение получившегося, или занятие ресурса c последующей блокировкой процесса- так в любой оси. Ну не знаю , у меня в linux несколько приложений могут одновременно выводить звук.

anonymous
()
Ответ на: комментарий от anonymous

> С другой стороны получается же на мобильной жабе писать быстрые приложения на совсем дохлом железе?

А теперь подумай, с какой скоростью будут работать приложения на этом же "совсем дохлом железе", написанные на C/асм. Накладные расходы на ява-машину очень большие. И тем ощутимее, чем меньше ресурсов в системе.

anonymous
()
Ответ на: комментарий от anonymous

> Ядро никакой пользовательский интерфейс не должно предоставлять в принципе.

Жжошь. И интерфес syscall тоже? А вообще, речь о ядерном интерфесе из-за которого посл каждого обновления ядра отваливается fglrx и vmware и не собираются открытые драйвера и спецмодули для iptables , которые раньше собирались(а сейчас автор забросил разработку, но не смотря на это они могли бы работать, если бы у линупса было бы стабильное API).

> Это давно придуманная и стандартизированная вещь

DOS тоже

> Ну и что? Блокирование звука встречал в виндоусХР.

Я ни на одной из конфигураций с виндой(несколько сотен машин) не сталкивался за последние 10 лет с блокировкой звука. Видел проблемы блокировки звуковой в Win 3.x, на уровне которой сейчас и находится линух с зоопарком костылей-серверов звука. А вот под линукс пришлось покупать sound blaster live 5.1, потому что c fortemedia 801, cmedia и интегрированными ac97 realtek и ac97 soundmax были проблемы со звуком - то artsd блокирует звук приложений пытающихся юзать ALSA напрямую, то к кваке3 нет звука без танцев с бубном вокруг фулл-дуплекса, то приложения не могут поделить, помню еще были танцы с dmix. Одним словом п*дец.

anonymous
()
Ответ на: комментарий от anonymous

>> Ядро никакой пользовательский интерфейс не должно предоставлять в принципе.

>И интерфес syscall тоже?

Онанизмус, научись сначала отличать пользовательский интерфейс (TUI, GUI) от интерфейса программного (API, ABI), а потом лезь в спор с умным видом.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.