abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Zákaz Raspberry Pi na inauguraci newyorského starosty
    dnes 14:22 | Humor

    Na novoroční inauguraci starosty New Yorku Zohrana Mamdaniho bylo zakázáno si s sebou přinést Raspberry Pi anebo Flipper Zero. Raspberry Pi i Flipper Zero jsou explicitně uvedeny v seznamu zakázaných věcí jak na na veřejné pozvánce, tak i na oficiálních stránkách města.

    NUKE GAZA! 🎆 | Komentářů: 16
    OpenTTD 15.0
    dnes 11:33 | Nová verze

    OpenTTD (Wikipedie), tj. open source klon počítačové hry Transport Tycoon Deluxe, byl vydán v nové stabilní verzi 15.0. Přehled novinek v seznamu změn a také na YouTube. OpenTTD lze instalovat také ze Steamu.

    Ladislav Hagara | Komentářů: 2
    IceWM 4.0.0
    dnes 11:11 | Nová verze

    Správce oken IceWM byl vydán ve verzi 4.0.0, která např. vylepšuje navigaci v přepínání velkého množství otevřených oken.

    |🇵🇸 | Komentářů: 1
    Digitální knihovna ACM
    dnes 01:33 | Zajímavý projekt

    Od 1. ledna 2026 jsou všechny publikace ACM (Association for Computing Machinery) a související materiály přístupné v její digitální knihovně. V rámci této změny je nyní digitální knihovna ACM nabízena ve dvou verzích: v základní verzi zdarma, která poskytuje otevřený přístup ke všem publikovaným výzkumům ACM, a v prémiové zpoplatněné verzi, která nabízí další služby a nástroje 'určené pro hlubší analýzu, objevování a organizační využití'.

    NUKE GAZA! 🎆 | Komentářů: 5
    Konec podpory HP-UX
    včera 16:44 | IT novinky

    S koncem roku 2025 skončila standardní podpora operačního systému HP-UX (Hewlett Packard Unix).

    Ladislav Hagara | Komentářů: 10
    Volná díla od 1. ledna 2026
    včera 14:33 | Nová verze

    K 1. lednu 2026 končí 70leté omezení majetkových autorských práv děl autorů zesnulých v roce 1955, viz 2026 in public domain. V americkém prostředí vstupují do public domain díla z roku 1930, viz Public Domain Day.

    |🇵🇸 | Komentářů: 2
    PF 2026
    31.12. 15:00 | Nová verze

    Všem vše nejlepší do nového roku 2026.

    Ladislav Hagara | Komentářů: 12
    Crown Game Engine 0.60
    31.12. 13:33 | Zajímavý software

    Crown je multiplatformní open source herní engine. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT a GPLv3+. Byla vydána nová verze 0.60. Vyzkoušet lze online demo.

    Ladislav Hagara | Komentářů: 0
    curl bez strcpy()
    31.12. 12:11 | Zajímavý článek

    Daniel Stenberg na svém blogu informuje, že po strncpy() byla ze zdrojových kódů curlu odstraněna také všechna volání funkce strcpy(). Funkci strcpy() nahradili vlastní funkcí curlx_strcopy().

    Ladislav Hagara | Komentářů: 6
    Shotcut 25.12.30
    31.12. 03:00 | Nová verze

    Byla vydána nová verze 25.12.30 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Shotcut je vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (0%)
     (4%)
     (0%)
     (18%)
     (33%)
     (15%)
     (4%)
     (5%)
     (11%)
     (31%)
    Celkem 55 hlasů
     Komentářů: 1, poslední dnes 06:15
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Bezpečnostní chyba CVE-2018-14665 v X.Org
    Štítky: chyba, prav, Xorg, xorg-server

    Bezpečnostní chyba CVE-2018-14665 v X.Org

    V X.Org, konkrétně v xorg-serveru 1.19.0 a novějších, byla nalezena bezpečnostní chyba CVE-2018-14665 zneužitelná k lokální eskalaci práv. Chyba byla opravena v upstream xorg-serveru 1.20.3.

    25.10.2018 20:33 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    25.10.2018 23:12 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Zneuziti pak vypada tak ze si nalouduju vlastni modul pres -modulepath a Xorg ma suid root ... ?
    26.10.2018 00:00 Ladislav Hagara | skóre: 106 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Bug 1637761#c10
    26.10.2018 00:46 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    To je jen prepsani (jakehokoliv) souboru logfilem. Ale jo, tak nejak jsem si to predstavoval, s tim -modulepath tam fakt pokud pustit jakykoliv kod jako root. Solidni, posledni dobou je to jedna verejna bezpecnostni chyba za druhou kolem linux desktopu.
    26.10.2018 00:50 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    V prvnim komentari pise "allowing attackers with low privilege access to overwrite system files and subsequently execute arbitrary code."

    To me ale fakt nenapada jak, mozna prepsat /etc/passwd a spolehat se na ten slavny not-a-bug v systemd, ktery by pak dal uzivateli roota?
    Jendа avatar 26.10.2018 08:10 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    V tom PoC přepisují /etc/passwd (a dělají to na OpenBSD, kde systemd není). Můžeš ale také třeba přepsat crontab (příp. vytvořit /etc/cron.hourly/cokoli a počkat hodinu). Nebo třeba /etc/sudoers a pořídit si práva na sudo bez hesla.
    26.10.2018 16:05 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Jenze prepsat logfilem Xorg, to je ti k nicemu.
    26.10.2018 13:00 Ladislav Hagara | skóre: 106 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    @hackerfantastic, x0rg.sh, ...
    26.10.2018 16:07 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Aha, dik! Ten tricek je v tom parametru "-fp" (default font path), kdy pak Xorg zapise do -logfile presne co mu zadas. Hezky.
    26.10.2018 16:19 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Ale to je pak vysledek: 
    <logfile .... >
[   841.402] (++) FontPath set to: 
    OUR_PAYLOAD
<logfile .....>
    To ten PoC s ld preload prece nebude fungovat.
    26.10.2018 18:44 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Tak to funguje. Ten "bordel" navic se uspesne ignoruje.
    27.10.2018 15:27 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Otazka jestli by to slo obdobne zneuzit pokud by *vsechny* radky v logu zacinali timestamp.
    Jendа avatar 26.10.2018 08:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    01:31 <@Jenda`> https://twitter.com/hackerfantastic/status/1055568290112831490
    01:33 <@Jenda`> (tl;dr když je Xorg SUID, zapisuje logy jako root; uživatel může způsobit, že se do logu vypíše řádek, který lze interpretovat jako položka /etc/passwd, sudoers nebo crontabu)
    01:34 <@Mrkva> omg
    01:35 <@Mrkva> nejen ze zapisuje logy jako root, ale souboru ktery zada uzivatel
    01:36 <@Mrkva> kdo si sakra myslel, ze je to dobry napad?

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.