abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    DuckDuckGo AI Chat
    včera 18:00 | IT novinky

    DuckDuckGo AI Chat umožňuje "pokecat si" s GPT-3.5 Turbo od OpenAI nebo Claude 1.2 Instant od Anthropic. Bez vytváření účtu. Všechny chaty jsou soukromé. DuckDuckGo je neukládá ani nepoužívá k trénování modelů umělé inteligence.

    Ladislav Hagara | Komentářů: 1
    VASA-1, generování mluvící hlavy z jediné fotky a zvukového záznamu
    včera 14:22 | IT novinky

    VASA-1, výzkumný projekt Microsoftu. Na vstupu stačí jediná fotka a zvukový záznam. Na výstupu je dokonalá mluvící nebo zpívající hlava. Prý si technologii nechá jenom pro sebe. Žádné demo, API nebo placená služba. Zatím.

    Ladislav Hagara | Komentářů: 2
    MagPi 140 a HackSpace 77
    včera 04:44 | Nová verze

    Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 140 (pdf) a HackSpace 77 (pdf).

    Ladislav Hagara | Komentářů: 0
    ESPHome 2024.4.0
    včera 01:00 | Nová verze

    ESPHome, tj. open source systém umožňující nastavovat zařízení s čipy ESP (i dalšími) pomocí konfiguračních souborů a připojit je do domácí automatizace, například do Home Assistantu, byl vydán ve verzi 2024.4.0.

    Ladislav Hagara | Komentářů: 0
    Open Platform for Enterprise AI (OPEA)
    18.4. 22:11 | IT novinky

    LF AI & Data Foundation patřící pod Linux Foundation spustila Open Platform for Enterprise AI (OPEA).

    Ladislav Hagara | Komentářů: 0
    OpenXR 1.1
    18.4. 20:55 | Nová verze

    Neziskové průmyslové konsorcium Khronos Group vydalo verzi 1.1 specifikace OpenXR (Wikipedie), tj. standardu specifikujícího přístup k platformám a zařízením pro XR, tj. platformám a zařízením pro AR (rozšířenou realitu) a VR (virtuální realitu). Do základu se z rozšíření dostalo XR_EXT_local_floor. Společnost Collabora implementuje novou verzi specifikace do platformy Monado, tj. open source implementace OpenXR.

    Ladislav Hagara | Komentářů: 2
    mpv 0.38.0
    18.4. 17:22 | Nová verze

    Byla vydána nová verze 0.38.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Požadován je FFmpeg 4.4 nebo novější a také libplacebo 6.338.2 nebo novější.

    Ladislav Hagara | Komentářů: 13
    ClamAV 1.3.1, 1.2.3 a 1.0.6
    18.4. 17:11 | Nová verze

    ClamAV (Wikipedie), tj. multiplatformní antivirový engine s otevřeným zdrojovým kódem pro detekci trojských koní, virů, malwaru a dalších škodlivých hrozeb, byl vydán ve verzích 1.3.1, 1.2.3 a 1.0.6. Ve verzi 1.3.1 je mimo jiné řešena bezpečnostní chyba CVE-2024-20380.

    Ladislav Hagara | Komentářů: 2
    Mobilní aplikace Portál občana je ode dneška oficiálně venku
    18.4. 12:11 | IT novinky

    Digitální a informační agentura (DIA) oznámila (PDF, X a Facebook), že mobilní aplikace Portál občana je ode dneška oficiálně venku.

    Ladislav Hagara | Komentářů: 10
    #HACKUJBRNO 2024
    18.4. 05:11 | Komunita

    #HACKUJBRNO 2024, byly zveřejněny výsledky a výstupy hackathonu města Brna nad otevřenými městskými daty, který se konal 13. a 14. dubna 2024.

    Ladislav Hagara | Komentářů: 2
    Centrum | Napsat | Starší
    navrhněte » Anketa
    KDE Plasma 6
     (68%)
     (11%)
     (2%)
     (20%)
    Celkem 566 hlasů
     Komentářů: 4, poslední 6.4. 15:51
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Bezpečnostní chyba CVE-2018-14665 v X.Org
    Štítky: chyba, prav, Xorg, xorg-server

    Bezpečnostní chyba CVE-2018-14665 v X.Org

    V X.Org, konkrétně v xorg-serveru 1.19.0 a novějších, byla nalezena bezpečnostní chyba CVE-2018-14665 zneužitelná k lokální eskalaci práv. Chyba byla opravena v upstream xorg-serveru 1.20.3.

    25.10.2018 20:33 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    25.10.2018 23:12 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Zneuziti pak vypada tak ze si nalouduju vlastni modul pres -modulepath a Xorg ma suid root ... ?
    26.10.2018 00:00 Ladislav Hagara | skóre: 102 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Bug 1637761#c10
    26.10.2018 00:46 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    To je jen prepsani (jakehokoliv) souboru logfilem. Ale jo, tak nejak jsem si to predstavoval, s tim -modulepath tam fakt pokud pustit jakykoliv kod jako root. Solidni, posledni dobou je to jedna verejna bezpecnostni chyba za druhou kolem linux desktopu.
    26.10.2018 00:50 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    V prvnim komentari pise "allowing attackers with low privilege access to overwrite system files and subsequently execute arbitrary code."

    To me ale fakt nenapada jak, mozna prepsat /etc/passwd a spolehat se na ten slavny not-a-bug v systemd, ktery by pak dal uzivateli roota?
    Jendа avatar 26.10.2018 08:10 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    V tom PoC přepisují /etc/passwd (a dělají to na OpenBSD, kde systemd není). Můžeš ale také třeba přepsat crontab (příp. vytvořit /etc/cron.hourly/cokoli a počkat hodinu). Nebo třeba /etc/sudoers a pořídit si práva na sudo bez hesla.
    Já to s tou denacifikací Slovenska myslel vážně.
    26.10.2018 16:05 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Jenze prepsat logfilem Xorg, to je ti k nicemu.
    26.10.2018 13:00 Ladislav Hagara | skóre: 102 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    @hackerfantastic, x0rg.sh, ...
    26.10.2018 16:07 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Aha, dik! Ten tricek je v tom parametru "-fp" (default font path), kdy pak Xorg zapise do -logfile presne co mu zadas. Hezky.
    26.10.2018 16:19 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Ale to je pak vysledek: 
    <logfile .... >
[   841.402] (++) FontPath set to: 
    OUR_PAYLOAD
<logfile .....>
    To ten PoC s ld preload prece nebude fungovat.
    26.10.2018 18:44 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Tak to funguje. Ten "bordel" navic se uspesne ignoruje.
    27.10.2018 15:27 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Otazka jestli by to slo obdobne zneuzit pokud by *vsechny* radky v logu zacinali timestamp.
    Jendа avatar 26.10.2018 08:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    01:31 <@Jenda`> https://twitter.com/hackerfantastic/status/1055568290112831490
    01:33 <@Jenda`> (tl;dr když je Xorg SUID, zapisuje logy jako root; uživatel může způsobit, že se do logu vypíše řádek, který lze interpretovat jako položka /etc/passwd, sudoers nebo crontabu)
    01:34 <@Mrkva> omg
    01:35 <@Mrkva> nejen ze zapisuje logy jako root, ale souboru ktery zada uzivatel
    01:36 <@Mrkva> kdo si sakra myslel, ze je to dobry napad?
    Já to s tou denacifikací Slovenska myslel vážně.

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.