abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Google Chrome 143
    dnes 01:55 | Nová verze

    Google Chrome 143 byl prohlášen za stabilní. Nejnovější stabilní verze 143.0.7499.40 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 13 bezpečnostních chyb.

    Ladislav Hagara | Komentářů: 0
    Hardwarový a softwarový průzkum Steamu - 11/2025
    včera 19:33 | Nová verze

    Společnost Valve aktualizovala přehled o hardwarovém a softwarovém vybavení uživatelů služby Steam. Podíl uživatelů Linuxu dosáhl 3,2 %. Nejčastěji používané linuxové distribuce jsou Arch Linux, Linux Mint a Ubuntu. Při výběru jenom Linuxu vede SteamOS Holo s 26,42 %. Procesor AMD používá 66,72 % hráčů na Linuxu.

    Ladislav Hagara | Komentářů: 0
    Ubuntu Pro pro WSL
    včera 15:22 | IT novinky

    Canonical oznámil (YouTube), že nově nabízí svou podporu Ubuntu Pro také pro instance Ubuntu na WSL (Windows Subsystem for Linux).

    Ladislav Hagara | Komentářů: 0
    Samsung Galaxy Z TriFold
    včera 13:11 | IT novinky

    Samsung představil svůj nejnovější chytrý telefon Galaxy Z TriFold (YouTube). Skládačka se nerozkládá jednou, ale hned dvakrát, a nabízí displej s úhlopříčkou 10 palců. V České republice nebude tento model dostupný.

    Ladislav Hagara | Komentářů: 1
    Armbian 25.11.1
    včera 12:33 | Nová verze

    Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 25.11.1. Přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 1
    FreeBSD 15.0
    včera 04:00 | Nová verze

    Byla vydána nová verze 15.0 svobodného unixového operačního systému FreeBSD. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 5
    Ubuntu Touch 24.04 1.1 a 20.04 OTA-11
    včera 03:00 | Nová verze

    UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04 1.1 a 20.04 OTA-11. Vedle oprav chyb a drobných vylepšení je řešen také středně závažný bezpečnostní problém.

    Ladislav Hagara | Komentářů: 0
    Ajťácké adventní kalendáře 2025
    včera 00:33 | IT novinky

    I letos vyšla řada ajťáckých adventních kalendářů: Advent of Code 2025, Perl Advent Calendar 2025, CSS Advent Calendar 2025, Advent of A11Y 2025, Advent of AI Security 2025, Advent of Agents (in Google) 2025, Advent of Svelte 2025, …

    Ladislav Hagara | Komentářů: 0
    Testovaní FreeIPA Moderního WebUI na Fedoře 43
    1.12. 16:00 | Komunita

    Fedora zve na dvoudenní testování (2. a 3. prosince), během kterého si můžete vyzkoušet nové webové uživatelské rozhraní (WebUI) projektu FreeIPA. Pomozte vychytat veškeré chyby a vylepšit uživatelskou zkušenost ještě předtím, než se tato verze dostane k uživatelům Fedory a celého linuxového ekosystému.

    Ladislav Hagara | Komentářů: 4
    Zdražení počítačů Raspberry Pi. 1GB verze Raspberry Pi 5
    1.12. 13:22 | IT novinky

    Eben Upton oznámil zdražení počítačů Raspberry Pi, kvůli růstu cen pamětí, a představil 1GB verzi Raspberry Pi 5 za 45 dolarů.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (34%)
     (47%)
     (19%)
     (18%)
     (23%)
     (16%)
     (25%)
     (16%)
     (18%)
    Celkem 424 hlasů
     Komentářů: 18, poslední včera 18:34
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Bezpečnostní chyba CVE-2018-14665 v X.Org
    Štítky: chyba, prav, Xorg, xorg-server

    Bezpečnostní chyba CVE-2018-14665 v X.Org

    V X.Org, konkrétně v xorg-serveru 1.19.0 a novějších, byla nalezena bezpečnostní chyba CVE-2018-14665 zneužitelná k lokální eskalaci práv. Chyba byla opravena v upstream xorg-serveru 1.20.3.

    25.10.2018 20:33 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    25.10.2018 23:12 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Zneuziti pak vypada tak ze si nalouduju vlastni modul pres -modulepath a Xorg ma suid root ... ?
    26.10.2018 00:00 Ladislav Hagara | skóre: 106 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Bug 1637761#c10
    26.10.2018 00:46 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    To je jen prepsani (jakehokoliv) souboru logfilem. Ale jo, tak nejak jsem si to predstavoval, s tim -modulepath tam fakt pokud pustit jakykoliv kod jako root. Solidni, posledni dobou je to jedna verejna bezpecnostni chyba za druhou kolem linux desktopu.
    26.10.2018 00:50 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    V prvnim komentari pise "allowing attackers with low privilege access to overwrite system files and subsequently execute arbitrary code."

    To me ale fakt nenapada jak, mozna prepsat /etc/passwd a spolehat se na ten slavny not-a-bug v systemd, ktery by pak dal uzivateli roota?
    Jendа avatar 26.10.2018 08:10 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    V tom PoC přepisují /etc/passwd (a dělají to na OpenBSD, kde systemd není). Můžeš ale také třeba přepsat crontab (příp. vytvořit /etc/cron.hourly/cokoli a počkat hodinu). Nebo třeba /etc/sudoers a pořídit si práva na sudo bez hesla.
    26.10.2018 16:05 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Jenze prepsat logfilem Xorg, to je ti k nicemu.
    26.10.2018 13:00 Ladislav Hagara | skóre: 106 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    @hackerfantastic, x0rg.sh, ...
    26.10.2018 16:07 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Aha, dik! Ten tricek je v tom parametru "-fp" (default font path), kdy pak Xorg zapise do -logfile presne co mu zadas. Hezky.
    26.10.2018 16:19 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Ale to je pak vysledek: 
    <logfile .... >
[   841.402] (++) FontPath set to: 
    OUR_PAYLOAD
<logfile .....>
    To ten PoC s ld preload prece nebude fungovat.
    26.10.2018 18:44 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Tak to funguje. Ten "bordel" navic se uspesne ignoruje.
    27.10.2018 15:27 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    Otazka jestli by to slo obdobne zneuzit pokud by *vsechny* radky v logu zacinali timestamp.
    Jendа avatar 26.10.2018 08:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
    01:31 <@Jenda`> https://twitter.com/hackerfantastic/status/1055568290112831490
    01:33 <@Jenda`> (tl;dr když je Xorg SUID, zapisuje logy jako root; uživatel může způsobit, že se do logu vypíše řádek, který lze interpretovat jako položka /etc/passwd, sudoers nebo crontabu)
    01:34 <@Mrkva> omg
    01:35 <@Mrkva> nejen ze zapisuje logy jako root, ale souboru ktery zada uzivatel
    01:36 <@Mrkva> kdo si sakra myslel, ze je to dobry napad?

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.