LINUX.ORG.RU

Уязвимость в PaX


0

0

Локальный пользователь может повысить привилегии до root. Уязвимость присутствует как в PaX для ядер 2.6.X, так и 2.4.X. Exploit'а пока нет, да и о деталях разработчики пока молчат.

Патчимся, господа...

>>> вот такие пироги...

★★★

Проверено: Demetrio ()

> о деталях разработчики пока молчат

а вот Theo - ярый приверженец full disclosure, и недавно по этому поводу обиделся на freebsd-девелоперов, за то, что Colin Percival нашел багу и "hiding security stuff" ;-)

toxa ★★
()
Ответ на: комментарий от Lumi

> Немного подробностей здесь http://www.grsecurity.net/news.php#grsec212
Не понял вот этого:

This is a spectacular fuckup, it pretty much destroys what PaX has
always stood and been trusted for. For this and other reasons, PaX
will be terminated on 1st April, 2005, a fitting date...

Это что значит то?

anonymous
()
Ответ на: комментарий от anonymous

Это примерно значит, что нашли такую козявку, что PAX можно и нужно выкрасить и выбросить. Видимо поэтому и full disclosure нет. А дословный перевод модераторы почикают.

Lumi ★★★★★
()
Ответ на: комментарий от Lumi

> Это примерно значит, что нашли такую козявку, что PAX можно и нужно
> выкрасить и выбросить. Видимо поэтому и full disclosure нет. А
> дословный перевод модераторы почикают.
Да дословный перевод я и сам могу сделать, меня больше интересуют
причины такого высказывания. С чего вдруг? И там что-то про
1 Апреля говорится, на шутку смахивает. Кто-небудь может прояснить
ситуацию?

anonymous
()
Ответ на: комментарий от anonymous

О-о-о, истинные причины -- это видимо к Бряду. Я бы их тоже с удовольствием послушал, если бы был с ним на короткой ноге.

Lumi ★★★★★
()
Ответ на: комментарий от Lumi

> Тьфу на меня кривоглазого -- full disclosure есть (краснею и извиняюсь)
> http://lists.netsys.com/pipermail/full-disclosure/2005-March/032240.html
Да все и так нашли:) Собсно цитата именно оттуда и была.

> О-о-о, истинные причины -- это видимо к Бряду.
Кто такой "Бряд"?

anonymous
()

Аноним, который достал всех с вопросом "что такое PAX" - иди в гугл или на офсайт.

Deleted
()

вот и отгреб автор. а сам в свое время жаловался что вся lkml тусовка его не читает. и поделом. снобизм - давить

anonymous
()

Ув. Коллеги! (и модераторы!)

Ну сколько можно постить новости в стиле: "Сегодня вышел патч к Mega-Toolza v.1.2.3 все срочно апргрейдимся!", как будто каждый посетитель ЛОР обязан знать, что это такое, а кто не знает, тот урод и пожизенный виндузятник. Ну не поленитесь хоть чуть-чуть раскрыть, что это за Mega-Toolza, и для чего она нужна, даже если это такие всем знакомые вещи, как KDE или GNOME-- всеравно следует указать, что это такое (например -- "графическая пользовательская среда").

Ответы в стиле "набери слово Mega-Toolza в Гугле" между прочим являются элементарным неуважением к собеседнику. К тому же, если свежий человек зайдет на сайт, и увидит множество незнакомых ему терминов в заголовках -- эти статьи ему будут просто неинтересны, и у него не возникнет ни малейшего желания идти в гугл и проверять, что это такое.

svSHiFT
()
Ответ на: комментарий от svSHiFT

> Ну сколько можно постить новости в стиле: "Сегодня вышел патч к
> Mega-Toolza v.1.2.3 все срочно апргрейдимся!", как будто каждый
> посетитель ЛОР обязан знать что это такое

Не обязан, конечно же: голова -- не мусорный ящик, чтоб запоминать все подряд.

> Ну не поленитесь хоть чуть-чуть раскрыть, что это за Mega-Toolza,
> и для чего она нужна

Для тех, кто не знает, эта новость бесполезна по определению, можно вообще ее не читать.

> даже если это такие всем знакомые вещи, как KDE или GNOME

И почему эти гм... поделия непременно должны быть знакомы ВСЕМ?

> Ответы в стиле "набери слово Mega-Toolza в Гугле" между прочим
> являются

Для альтернативно одаренных: в данном случае и google'а спрашивать не
надо, достаточно по ссылочке в новости зайти на страничку проекта, и
почитать. Если уж так сильно охота...

> К тому же, если свежий человек зайдет на сайт, и увидит множество
> незнакомых ему терминов в заголовках -- эти статьи ему будут просто
> неинтересны, и у него не возникнет ни малейшего желания идти в гугл
> и проверять, что это такое.

И что с того? Неинтересно -- _не надо_ читать, никто ж не заставляет.


Dselect ★★★
() автор топика
Ответ на: комментарий от Deleted

да ... а теперь такой вопрос - а не пойти бы тебе на хуй ?

anonymous
()
Ответ на: комментарий от anonymous

на глупый вопрос...

... попытаюсь, тем не менее, дать не такой уж и глупый ответ.

> сайт для человека или человек для сайта ?

Фейнман _хорошо_ знал физику. Лично ему курс физики в N томах
был на# не нужен. Тем не менее, он его написал -- для читателей
(школьников и студентов младших курсов), которых тоже интересует
физика. Написано достаточно просто, но читать все равно надо
внимательно. И если _совсем_ ничего не понятно, надо идти в начальную
школу, или  к доктору -- в зависимости от возраста.

Если не интересно, то снова таки, претензии НЕ к Фейнману. Можно
что-то другое почитать. Если совсем _ничего_ не интересует -- купите
себе "Playboy" (на худой конец -- "Мурзилку") и радуйтесь.

P.S.

LOR, конечно, не учебник по UNIX, да и я -- не Фейнман (мозгов
маловато, да и куда мне с моей рязанской рожей), но идея ясна,
правда?

Dselect ★★★
() автор топика
Ответ на: комментарий от anonymous

ПросвЯщенность рулит нипадецки.

anonymous
()
Ответ на: комментарий от anonymous

> Собсно цитата именно оттуда и была

Я это понял, претензия не к Вам, а ко мне. Я эту ссылку не заметил сразу.

> Кто такой "Бряд"?

Это как раз и есть Brad Spengler -- автор цитированного отрывка. Перед ним извиняюсь -- не со зла я его так обозвал :(

Lumi ★★★★★
()
Ответ на: комментарий от anonymous

>  снобизм давить во всех проявлениях

"Давить" тупость и быдловатость (a.k.a. ламеризм), а не писать
новости/статьи/etc, ориентируясь на подобную публику. Для _них_ 
есть (хоть пруд пруди) другие источники "информации".

Dselect ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.