Přihlášení | Registrace

napište » Zprávičky

Nvidia po souhlasu od Trumpovy vlády obnoví prodej čipů pro AI do Číny

dnes 20:44 | IT novinky

Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.

Ladislav Hagara | Komentářů: 0

Blender 4.5 LTS

dnes 17:22 | Nová verze

3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.

Ladislav Hagara | Komentářů: 0

Open source webový aplikační framework Django slaví 20. narozeniny

včera 22:22 | Komunita

Open source webový aplikační framework Django slaví 20. narozeniny.

Ladislav Hagara | Komentářů: 0

DebConf25

včera 16:11 | Komunita

V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.

Ladislav Hagara | Komentářů: 0

Před 30 lety se začala používat přípona .mp3

včera 11:33 | IT novinky

Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.

Ladislav Hagara | Komentářů: 26

Commodore 64 Ultimate

včera 10:55 | IT novinky

Výroba 8bitových domácích počítačů Commodore 64 byla ukončena v dubnu 1994. Po více než 30 letech byl představen nový oficiální Commodore 64 Ultimate (YouTube). S deskou postavenou na FPGA. Ve 3 edicích v ceně od 299 dolarů a plánovaným dodáním v říjnu a listopadu letošního roku.

Ladislav Hagara | Komentářů: 20

Reachy Mini, open source robot od Hugging Face

13.7. 17:55 | Zajímavý projekt

Společnost Hugging Face ve spolupráci se společností Pollen Robotics představila open source robota Reachy Mini (YouTube). Předobjednat lze lite verzi za 299 dolarů a wireless verzi s Raspberry Pi 5 za 449 dolarů.

Ladislav Hagara | Komentářů: 17

Počítačová hra DOGWALK

11.7. 16:44 | Komunita

Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.

Ladislav Hagara | Komentářů: 3

AI řešení náboru pracovníku pro McDonald's mělo přihlašovací jméno 123456 a heslo 123456

11.7. 14:55 | Humor

McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.

Ladislav Hagara | Komentářů: 16

Visual Studio Code a VSCodium 1.102

11.7. 00:11 | Nová verze

Byla vydána (𝕏) červnová aktualizace aneb nová verze 1.102 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.102 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (59%)

python (26%)

perl (7%)

powershell (3%)

batch (1%)

vbscript (1%)

jiný, uvedu v diskusi (4%)

Celkem 397 hlasů

Komentářů: 16, poslední 8.6. 21:05

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Zprávičky / Bezpečnostní chyba CVE-2018-14665 v X.Org

Štítky: chyba, prav, Xorg, xorg-server

Bezpečnostní chyba CVE-2018-14665 v X.Org

V X.Org, konkrétně v xorg-serveru 1.19.0 a novějších, byla nalezena bezpečnostní chyba CVE-2018-14665 zneužitelná k lokální eskalaci práv. Chyba byla opravena v upstream xorg-serveru 1.20.3.

25.10.2018 20:33 | Ladislav Hagara | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (0) ? , Tisk

Vložit další komentář

25.10.2018 23:12 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

Odpovědět | Sbalit | Link | Blokovat | Admin

Zneuziti pak vypada tak ze si nalouduju vlastni modul pres -modulepath a Xorg ma suid root ... ?

26.10.2018 00:00 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

Bug 1637761#c10

26.10.2018 00:46 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

To je jen prepsani (jakehokoliv) souboru logfilem. Ale jo, tak nejak jsem si to predstavoval, s tim -modulepath tam fakt pokud pustit jakykoliv kod jako root. Solidni, posledni dobou je to jedna verejna bezpecnostni chyba za druhou kolem linux desktopu.

26.10.2018 00:50 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

V prvnim komentari pise "allowing attackers with low privilege access to overwrite system files and subsequently execute arbitrary code."

To me ale fakt nenapada jak, mozna prepsat /etc/passwd a spolehat se na ten slavny not-a-bug v systemd, ktery by pak dal uzivateli roota?

26.10.2018 08:10 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

V tom PoC přepisují /etc/passwd (a dělají to na OpenBSD, kde systemd není). Můžeš ale také třeba přepsat crontab (příp. vytvořit /etc/cron.hourly/cokoli a počkat hodinu). Nebo třeba /etc/sudoers a pořídit si práva na sudo bez hesla.

26.10.2018 16:05 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

Jenze prepsat logfilem Xorg, to je ti k nicemu.

26.10.2018 13:00 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

@hackerfantastic, x0rg.sh, ...

26.10.2018 16:07 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

Aha, dik! Ten tricek je v tom parametru "-fp" (default font path), kdy pak Xorg zapise do -logfile presne co mu zadas. Hezky.

26.10.2018 16:19 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

Ale to je pak vysledek:

<logfile .... >
[   841.402] (++) FontPath set to: 
    OUR_PAYLOAD
<logfile .....>

To ten PoC s ld preload prece nebude fungovat.

26.10.2018 18:44 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

Tak to funguje. Ten "bordel" navic se uspesne ignoruje.

27.10.2018 15:27 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

Otazka jestli by to slo obdobne zneuzit pokud by *vsechny* radky v logu zacinali timestamp.

26.10.2018 08:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org

Odpovědět | Sbalit | Link | Blokovat | Admin

01:31 <@Jenda`> https://twitter.com/hackerfantastic/status/1055568290112831490
01:33 <@Jenda`> (tl;dr když je Xorg SUID, zapisuje logy jako root; uživatel může způsobit, že se do logu vypíše řádek, který lze interpretovat jako položka /etc/passwd, sudoers nebo crontabu)
01:34 <@Mrkva> omg
01:35 <@Mrkva> nejen ze zapisuje logy jako root, ale souboru ktery zada uzivatel
01:36 <@Mrkva> kdo si sakra myslel, ze je to dobry napad?

Založit nové vlákno • Nahoru

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje