abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Arduino Days 2026
    dnes 13:00 | Komunita

    Dnes a zítra probíhají Arduino Days 2026. Na programu je řada zajímavých přednášek. Sledovat je lze od 17:00 na YouTube. Zúčastnit se lze i lokálních akcí. Dnes v Poličce v městské knihovně a zítra v Praze na Matfyzu.

    Ladislav Hagara | Komentářů: 1
    Ubuntu 26.04 LTS (Resolute Raccoon) Beta
    dnes 12:11 | Nová verze

    Byla vydána beta verze Ubuntu 26.04 LTS s kódovým názvem Resolute Raccoon. Přehled novinek v poznámkách k vydání. Dle plánu by Ubuntu 26.04 LTS mělo vyjít 23. dubna 2026.

    Ladislav Hagara | Komentářů: 0
    Příručka pro začínající wikipedisty a wikipedistky
    dnes 02:22 | Komunita

    Byla vydána aktualizována Příručka pro začínající wikipedisty a wikipedistky (pdf).

    Ladislav Hagara | Komentářů: 7
    ntpd-rs v Ubuntu nahradí chrony, linuxptp a gpsd
    včera 23:22 | Komunita

    Ubuntu plánuje v budoucích verzích nahradit tradiční nástroje pro synchronizaci času (chrony, linuxptp a gpsd) novým, v Rustu napsaným ntpd-rs, který nabídne vyšší bezpečnost a stabilitu.

    Ladislav Hagara | Komentářů: 3
    Tails 7.6
    včera 22:33 | Nová verze

    Byla vydána nová verze 7.6 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Správce hesel KeePassXC byl nahrazen správcem hesel GNOME Secrets. Bitcoinová peněženka Electrum byla povýšena na verzi 4.7.0. Tor Browser byl povýšen na verzi 15.0.8. Další novinky v příslušném seznamu.

    Ladislav Hagara | Komentářů: 1
    Chris Down vyvrací mýty o zswap a zram
    včera 11:33 | Zajímavý článek

    Chris Down v obsáhlém článku „vyvrací mýty o zswap a zram“, vysvětluje, co vlastně dělají a jaké jsou mezi nimi rozdíly. Doporučuje vyhýbat se zram na serveru a bez OOM.

    |🇵🇸 | Komentářů: 1
    Porota v USA shledala Google a Metu odpovědnými v případu závislosti na sítích
    včera 11:22 | IT novinky

    Porota v Los Angeles shledala firmy Google a Meta odpovědnými v přelomovém soudním sporu, který se týká závislosti na sociálních sítích; firmy musí zaplatit odškodné tři miliony dolarů (63,4 milionu Kč). Společnosti, které s verdiktem nesouhlasí, čelily obvinění, že své sociální sítě a platformy záměrně navrhly tak, aby si na nich děti vypěstovaly závislost. Porota došla k závěru, že technologické společnosti při navrhování a

    … více »
    Ladislav Hagara | Komentářů: 12
    Vim Classic
    25.3. 19:11 | Komunita

    Jelikož vývojáři editorů Vim a Neovim začali při vývoji využívat LLM, Drew DeVault se rozhodl forknout Vim a vytvořil projekt Vim Classic. Vychází z Vimu 8.2.0148, tj. těsně před zavedením Vim9 skriptování.

    Ladislav Hagara | Komentářů: 6
    Unvanquished 0.56
    25.3. 16:11 | Nová verze

    Byla vydána nová verze 0.56 open source počítačové hry Unvanquished (Wikipedie), forku počítačové hry Tremulous. Instalovat ji lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    FreeCAD 1.1
    25.3. 14:11 | Nová verze

    FreeCAD (Wikipedie), tj. svobodný multiplatformní parametrický 3D CAD, byl vydán ve verzi 1.1 (YouTube). Po roce a čtyřech měsících od předchozí verze 1.0. Přehled novinek i s náhledy v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 4
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (15%)
     (7%)
     (1%)
     (12%)
     (30%)
     (2%)
     (5%)
     (1%)
     (13%)
     (24%)
    Celkem 1162 hlasů
     Komentářů: 27, poslední 17.3. 19:26
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Bezpečnostní chyba CVE-2018-14665 v X.Org
    Štítky: chyba, prav, Xorg, xorg-server

    Bezpečnostní chyba CVE-2018-14665 v X.Org

    V X.Org, konkrétně v xorg-serveru 1.19.0 a novějších, byla nalezena bezpečnostní chyba CVE-2018-14665 zneužitelná k lokální eskalaci práv. Chyba byla opravena v upstream xorg-serveru 1.20.3.

    25.10.2018 20:33 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    25.10.2018 23:12 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Zneuziti pak vypada tak ze si nalouduju vlastni modul pres -modulepath a Xorg ma suid root ... ?
    26.10.2018 00:00 Ladislav Hagara | skóre: 106 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Bug 1637761#c10
    26.10.2018 00:46 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    To je jen prepsani (jakehokoliv) souboru logfilem. Ale jo, tak nejak jsem si to predstavoval, s tim -modulepath tam fakt pokud pustit jakykoliv kod jako root. Solidni, posledni dobou je to jedna verejna bezpecnostni chyba za druhou kolem linux desktopu.
    26.10.2018 00:50 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    V prvnim komentari pise "allowing attackers with low privilege access to overwrite system files and subsequently execute arbitrary code."

    To me ale fakt nenapada jak, mozna prepsat /etc/passwd a spolehat se na ten slavny not-a-bug v systemd, ktery by pak dal uzivateli roota?
    Jendа avatar 26.10.2018 08:10 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    V tom PoC přepisují /etc/passwd (a dělají to na OpenBSD, kde systemd není). Můžeš ale také třeba přepsat crontab (příp. vytvořit /etc/cron.hourly/cokoli a počkat hodinu). Nebo třeba /etc/sudoers a pořídit si práva na sudo bez hesla.
    26.10.2018 16:05 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Jenze prepsat logfilem Xorg, to je ti k nicemu.
    26.10.2018 13:00 Ladislav Hagara | skóre: 106 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    @hackerfantastic, x0rg.sh, ...
    26.10.2018 16:07 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Aha, dik! Ten tricek je v tom parametru "-fp" (default font path), kdy pak Xorg zapise do -logfile presne co mu zadas. Hezky.
    26.10.2018 16:19 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Ale to je pak vysledek: 
    <logfile .... >
[   841.402] (++) FontPath set to: 
    OUR_PAYLOAD
<logfile .....>
    To ten PoC s ld preload prece nebude fungovat.
    26.10.2018 18:44 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Tak to funguje. Ten "bordel" navic se uspesne ignoruje.
    27.10.2018 15:27 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Otazka jestli by to slo obdobne zneuzit pokud by *vsechny* radky v logu zacinali timestamp.
    Jendа avatar 26.10.2018 08:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    01:31 <@Jenda`> https://twitter.com/hackerfantastic/status/1055568290112831490
    01:33 <@Jenda`> (tl;dr když je Xorg SUID, zapisuje logy jako root; uživatel může způsobit, že se do logu vypíše řádek, který lze interpretovat jako položka /etc/passwd, sudoers nebo crontabu)
    01:34 <@Mrkva> omg
    01:35 <@Mrkva> nejen ze zapisuje logy jako root, ale souboru ktery zada uzivatel
    01:36 <@Mrkva> kdo si sakra myslel, ze je to dobry napad?

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.