abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 17:00 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2018-11-13 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Přehled novinek v poznámkách k vydání. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Simon Long z novinek zdůrazňuje multimediální přehrávač VLC s hardwarovou akcelerací nebo vývojové prostředí pro Python Thonny ve verzi 3. Ke stažení jsou nově také lite a full obrazy Raspbianu. Raspbian Full opět obsahuje software Mathematica.

Ladislav Hagara | Komentářů: 0
včera 02:00 | Nová verze

Krátce po vydání Debianu 9.6 oznámil Tomáš Matějíček vydání verze 9.6 dnes již na Debianu založené živé linuxové distribuce Slax. Vedle vylepšení z Debianu je opraveno několik malých chyb. Opraveno bylo bootování pomocí PXE. Novinkou je skript s názvem pxe pro spuštění vlastního PXE serveru.

Ladislav Hagara | Komentářů: 0
včera 01:00 | Nová verze

Byla vydána beta verze Red Hat Enterprise Linuxu 8. Přehled novinek v příspěvku na blogu a v poznámkách k vydání.

Ladislav Hagara | Komentářů: 3
15.11. 13:44 | IT novinky

Nadace Raspberry Pi na svém blogu představila (YouTube) jednodeskový počítač Raspberry Pi 3 Model A+. Toto menší Raspberry Pi 3 lze koupit za 25 dolarů.

Ladislav Hagara | Komentářů: 0
15.11. 06:00 | Pozvánky

Dnes a zítra probíhá v Praze konference Internet a Technologie 18 pořádaná sdružením CZ.NIC. Sledovat ji lze online.

Ladislav Hagara | Komentářů: 0
15.11. 01:11 | Komunita

V září proběhl v Madridu Open Source CubeSat Workshop 2018. Videozáznamy přednášek byly zveřejněny na YouTube.

Ladislav Hagara | Komentářů: 1
15.11. 00:55 | Zajímavý software

Společnost Amazon představila Amazon Corretto. Jedná se o fork a distribuci OpenJDK (Open Java Development Kit) s dlouhodobou podporou od Amazonu. Ke stažení je preview verze 8. V plánu je také verze 11. Zdrojové kódy jsou k dispozici na GitHubu. Jedná se o reakci na oznámení společnosti Oracle, že bezplatné aktualizace její Javy nebude možné po lednu 2019 používat komerčně. Název Coretto vychází z Caffè corretto, tj. espressa s alkoholem.

Ladislav Hagara | Komentářů: 8
14.11. 12:44 | Nová verze

Po roce vývoje od vydání verze 5.2.0 byla vydána verze 5.3.0 svobodného integrovaného vývojového prostředí KDevelop (Wikipedie). Novinkou je analyzátor Clazy. Vylepšena byla podpora programovacích jazyků C++, PHP a Python. Ke stažení a k vyzkoušení je i binární balíček s KDevelopem 5.3.0 ve formátu AppImage.

Ladislav Hagara | Komentářů: 0
14.11. 05:55 | Komunita

Ubuntu 19.04 bude mít kódové jméno Disco Dingo. Dle oznámení v diskusním listu ubuntu-devel-announce je ve vývojové verzi Disco Dinga výchozím Pythonem 3 verze 3.7. Perl byl aktualizován na verzi 5.28. OpenSSL 1.0 bude nahrazeno OpenSSL 1.1.1 LTS. Nové instalace Dinga budou mít sloučený /usr. Stane se tak 7 let po sloučení /usr ve Fedoře nebo Arch Linuxu.

Ladislav Hagara | Komentářů: 9
14.11. 02:22 | IT novinky

V pondělí a úterý proběhl v San Franciscu Chrome Dev Summit 2018. Přehled dění v příspěvcích na Chromium Blogu. Videozáznamy přednášek na YouTube. Představen byl například web pro webové vývojáře web.dev nebo rozšíření webového prohlížeče Chrome s názvem VisBug (YouTube) určené pro webdesignery. Slíbená je podpora Firefoxu.

Ladislav Hagara | Komentářů: 0
Jak nejčastěji otevíráte dokumenty na počítači?
 (90%)
 (4%)
 (6%)
Celkem 101 hlasů
 Komentářů: 9, poslední 15.11. 22:46
Rozcestník

Vážné bezpečnostní chyby v Ghostscriptu

V Ghostscriptu, tj. interpretu PostScriptu (PS) a Portable Document Formatu (PDF), bylo nalezeno několik vážných bezpečnostních chyb. Při zpracovávání útočníkem připravovaného PS nebo PDF souboru může dojít ke spuštění libovolného příkazu. V závislosti na nastavení může být Ghostscript spouštěn z prohlížečů obrázků jako ImageMagick, Evince nebo GIMP. Například při pouhém nahlédnutí do Stažených souborů pomocí GNOME Soubory (Nautilus) jsou automaticky vytvářeny náhledy souborů pomocí evince-thumbnailer, což může vyvolat nejenom spuštění kalkulačky. Na opravě chyb se pracuje. CERT/CC doporučuje spouštění Ghostscriptu dočasně zakázat.

23.8. 12:44 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

23.8. 13:58 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Tak schvalne kdy updatujou vsechny ty dockery co bundlujou napr. wordpress s https://wordpress.org/plugins/gs-only-pdf-preview/.

Je to vtipne, jak si to rozbiji samy, kdyby nemeli potrebu vse bundlovat tak to za ne distro opravi behem hodin/dnu.

So long and thanks for all the botnets.
23.8. 14:12 cotyjsizapokemona
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Uplne stejne, jako aktualizace v jakekoliv distribuci. Az bude prislusny opraveny balicek dostupny v distru, ze ktereho image kontejneru vychazi, tak se to proste jenom rebuildne (to zahrnuje i stazeni novych balicku) a pusti z noveho image. Radsi bych si zjistil, jak ty veci funguji, nez bych zacal plkat nesmysly. :D
23.8. 14:26 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
To ze to docker umoznuje, neznamena ze se to tak v praxi pouziva ty pokemone.
23.8. 18:20 Kate | skóre: 8
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
To že můžeš updatovat svůj server neznamená že to dělají všichni. Pokud na to admin kašle, je asi celkem jedno jestli kašle na docker nebo na distro…
23.8. 18:33 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Naposledy. Cele je to o tom jak se to pouziva v praxi. Verejny linuxovy server neupdatuji jen nejvetsi neschopaci, prakticky kazdy updatuje. Docker containery jsou *v praxi* jeden velky bordel, kde se na to kasle (cest vyjimkam). To si muze kazdy overit sam treba nat tom dockerhubu. Badavejsi se muzou zamyslet proc to tak je. Docker jako technologie za to nemuze.

Ty uz ghostscript ve vsech docker container (jestli pouzivas) vypnuty mas? Kolik s tim bylo prace?
23.8. 18:44 cotyjsizapokemona
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Ano, ja uz jej vypnuty mam. Pro zajimavost jsem to udelal naprosto identicky, jako na ostrem systemu, jen s tim rozdilem, ze Dockerfile kopiruje dalsi novy config, rebuild image, spustil jsem novy deploy a je hotovo. :-) Mej se krasne.
23.8. 19:00 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Tak z tveho setupu si srandu rozhodne nedelam, naopak to mas ocividne vychytany.

Ted uz jen kdyby takto ucili pouzivat docker vetsinu "devops" a nesirili ty bludy, ze nainstaluji hotovy kontejner, a tim to pro ne konci.
23.8. 19:24 Kate | skóre: 8
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
ghostscript v ničem používat nepotřebujem, ale jednak nepoužíváme dockerhub, ale udržujeme si vlastní repo kontejnerů (debian máme aktualizovaný každý den) a druhak je to pro nás v kubernetes clusuteru prostě triviální update kontejnerů. Takže to pro nás může mít v podstatě jen bezpečnostní výhodu – v případě 0day útoku má aspoň hacknutá komponenta v kontejneru omezené možnosti kam se může dostat.

Jinak těch serverů co někdo nainstaluje a pak se na ně vykašle je bohužel celkem dost, s tím „prakticky každý“ bych si nebyla úplně jistá :(
Heron avatar 24.8. 10:23 Heron | skóre: 51 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
To jistě, ale mnoho vývojářů považuje docker za skvělý právě proto, že tam mají přesně definované verze, které se jim nijak nemění. A nemusí nadávat na admina, který jim pod rukama neustále mění verze (rozuměj: updatuje os).

I já v tom vidím velké bezpečnostní riziko, zatímco distra mají své repositáře, podepsané, zkontrolované, reproducible builds, tak do kontejnerů si někteří zvykli stahovat věci náhodně z internetu (a to i v podobě celých image).
24.8. 11:31 Kate | skóre: 8
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Tak vždycky jde o přístup :) Mně naopak v produkci docker vyhovuje občas i z toho důvodu, že mě v případě potřeby nelimituje podkladový OS a jeho starší verze balíků. S balíčkovacím systémem zase jde donutit adminy k zmražení některých verzí… Prasit se bude s čímkoliv.
24.8. 13:19 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Rozhodne nepopiram ze sa da docker pouzit i spravne, a funguje pak vse lib a bezpecneji, nez bez kontejneru.

Narazim ale na to, ze lide kolem dockeru to praseni dost propaguji, protoze nezminuji co vsechno je potreba resit.

Nakonec cely ten "devops" pristup, kde se prenasi zodpovednost za ops na vyvojare. Co jsem mel cest s vyvojari v ruznych firmach, tak az na jednotky vyjimek, linux absolutne neznaji a o bezpecnosti vedi kulovy.
24.8. 13:53 Harvie.CZ
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Jsme porad na linuxovem portale, kde nejlepsim nastrojem je vlastni hlava? Nebo musi sam Vekly Soros zridit nejakou komisi pro dohled na dockerem, abys byl spokojenej? A co treba zakazat gcc, jeho autori prece propaguji, ze se v nem sa prelozit cokoliv, klidne i skodlivy kod...! Vubec nemaji nejaky audit, co v nem kdo prelozi, vzdyt to je strasidelne... Chtelo by to vubec zakazat vsechny x86 instrukce krome mov, aby nikdo nemohl psat ty zle programy (i kdyz mov je turingovsky uplna, takze co ted?)
24.8. 15:41 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
distro kolem ktereho by byla kultura "nainstaluj a nic nemusis resit, aktualizace jsou zbytecny" by si pouzival?
24.8. 16:03 Harvie.CZ
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Jakou kulturu si udelas, takovou ji mas, nejpouzivanejsi obrazy vidim ty oficialni, nechapu proc by minoritni pripady mely bejt reprezentativni.
24.8. 16:39 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
tak az na tvoje servery pujde naky ddos tak si vzpomen
24.8. 16:53 Harvie.CZ
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Nenut tu vsem svoji nekompetenci... Predstav si ze ne kazdej je teoretik a velkou cast z nas adminstrace systemu dobre zivi... A nestahujeme si do systemu kazdou blbost jen protoze je nekde na dockerhubu. Jak jsem psal na zacatku, nejlepsim nastrojem je vlastni kebule a kdo ji nema, toho uz stejne nic nespasi...
24.8. 21:34 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Srovnejme si treba https://docs.docker.com/engine/security/security/ s https://www.debian.org/security/:

docker - dlouhe povidani o tom, proc je vse skvele a bezpecne, a to teda jeste hodne marketingove, plne kecu jako " This means that since July 2008 (date of the 2.6.26 release ), namespace code has been exercised and scrutinized on a large number of production systems.", ve skutecnosti user namespaces je az 3.x kernel

debian - prvni nadpis "Keeping your Debian system secure" a povidani o tom co vse musis udelat aby to bezpecne bylo (sledovat alespon mailing listy, updatovat).

Samozrejme, pro docker je potreba delat to stejne (a s tema updatama pak je trochu vic prace).
24.8. 21:46 Harvie.CZ
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Aha, takze trolling, puvodne dobre zamaskovane
23.8. 14:30 docker
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Muzes to sledovat treba tady https://hub.docker.com/search/?isAutomated=0&isOfficial=0&page=1&pullCount=0&q=ghostscript&starCount=1 :-D
23.8. 18:58 docker
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Taky je dobry podivat se jak se pak doopravdy builduji ty zdrojove obrazy - treba rootfs.tar.xz debianu, z ktereho je pak ofiko python a django je mesic bez updatu.
23.8. 14:21 debian   
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Věnuj se raději tomu bagrování, ty dockere
23.8. 15:08 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Tak ja uz mam opraveno (jeden prikaz), jak ses na tom ty?

23.8. 17:03 debian
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Kolik si jako myslíš, že na to docker/docker-compose/kubectl potřebuje příkazů? Že jsi technofob a žiješ v době kamenné to pro nás ostatní nedělá složitější.
23.8. 18:24 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Takze vsechny docker containery, ktery pouzivas (jestli vubec naky) uz jsou prebuildovany s vypnutym ghostscriptem jo? Z dockerhubu to tak vubec ale vubec nevypada. Tak aspon ze sis zaurazel.
23.8. 19:48 debian   
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Proč s vypnutým, stačí když je aktualizovaný, což je naprosto stejné jako aktualizace systému.Navíc se dá samozřejmě v definici obrazu odinstalovat, když na něj máš pifku a neumíš si postavit vlastní obraz třeba na Debianu. Tak alespoň, že ses ztrapnil.
23.8. 20:01 bargista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Takze nemas, aktualizace na to v distrech nejsou. Ale aspon ze zas urazis.

Jinak ano, je pak potreba spravovat vlastni obrazy.
23.8. 20:07 debian    
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Lol, ty děláš, jako by snad Wordpress byla nějaká výsada. Gratuluji, že se ti ho povedlo horko těžko nasadit, když to považuješ za úspěch. Já mám na dockeru postaveny vlastní systémy a nedělá mi nejmenší problém je udržovat zabezpečnéné a aktuální.

Pokud na to aktualizace nejsou, tak to není problém dockeru - když si někdo postaví image na nějakém no-name bundlu, tak bude z hlediska znalosti bezpečnosti na podobné úrovni jako někdo, kdo si WP hodí někam na VPS a už na to v životě nesáhne. To je ale problém vás amatérů, docker nemůže za vaše po*raný životy.
23.8. 20:19 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Problem dockeru to neni, ale je to problem zpusobeny dockerem, napriklad tim, ze nejde nastavit aby docker pracoval pouze s oficialnimi obrazy.
23.8. 20:25 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Je to analogicke jako kdyby debian dovolil komukoliv nahrat cokoliv do debian repositaru (akorat by balicky tretich stran nemeli u sebe hvezdicku). Ale oni to jsou vlastne ty magicke kontejnery, tak to bude bezpecny.
23.8. 20:31 debian   
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Lepší analogie by byla, že si někdo musí takové repozitáře explicitně dát do sources.list. Protože magicky se ti v obrazech neobjeví.
Jendа avatar 27.8. 04:27 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
V debian-security o tom stále nebyla zmínka a já mám plně aktualizovaný Sid (ano, vím, že na unstable není security support, ale typicky tam někdo tu novou verzi nahraje, když pak backportuje opravu) a odkazovaný dokument mi stále spouští xcalc.

Netušíte někdo co jako bude?
Bojíte se, že když umřete, nebudete nikomu chybět? Pište kód bez komentářů a dělejte nedokumentované změny!
7.9. 14:05 anton
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu
Ide zrejme o túto chybu:
https://security-tracker.debian.org/tracker/CVE-2018-16509
Zdá sa, že ešte nebola opravená (mám jessie). Ale možno ju zatiaľ blokujú inak. Napr. GIMP mi už nespúšťa kalkulačku z tiff obrázka, ale Vami odkazovaný pdf v Okulari stále funguje.

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.