abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 13:55 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice zveřejnila čtyřiapadesátistránkovou výroční zprávu za rok 2019. K dispozici je v nízkém (6,4 MB) i vysokém (53,2 MB) rozlišení. Nadace také publikovala statistiky související s LibreOffice 7.0. Před týdnem vydaná verze byla z oficiálních stránek stažena již 423 tisíckrát.

Ladislav Hagara | Komentářů: 0
včera 13:33 | Zajímavý článek

Když se řekne „jmenný prostor“ hodně lidí si představí xmlns v XML nebo balíčky v Javě odvozené od internetových domén. Jmenné prostory jsou ale obecný koncept se kterým se setkáme prakticky všude a odvozovat je můžeme i jinak. Článek Jména a jmenné prostory dává toto téma do souvislostí a ukazuje různé způsoby tvorby jmenných prostorů. Nahlédneme i do zajímavého světa RDF a ukážeme si, jak vytvářet URI, která budou globálně unikátní jednou provždy.

xkucf03 | Komentářů: 0
včera 08:00 | Nová verze

Po více než čtyřech měsících vývoje od vydání verze 5.4 byla vydána nová verze 5.5 svobodného open source redakčního systému WordPress. Kódové označení Eckstine bylo vybráno na počest amerického jazzového zpěváka Billy Eckstine.

Ladislav Hagara | Komentářů: 0
včera 07:00 | Nová verze

Po půl roce vývoje od vydání verze 1.14 byla vydána nová verze 1.15 programovacího jazyka Go (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 01:10 | Nová verze
Vyšla nová verzia Firefox 79.0.3 pre android. Prináša zmenené rozhranie (práca s taby, vytváranie kolekcií stránok a možnosť mať hlavnú lištu už aj dole na obrazovke). V backhand zaujme používateľa, že odsek vie zalamovať podľa šírky obrazovky. (viac)
debian+ | Komentářů: 13
11.8. 18:00 | Komunita

Mitchell Baker v příspěvku Changing World, Changing Mozilla na blogu Mozilly píše o měnícím se světě a měnící se Mozille aneb výrazné restrukturalizaci společnosti Mozilla Corporation. Propuštěno bude 250 zaměstnanců.

Ladislav Hagara | Komentářů: 42
11.8. 17:00 | Zajímavý článek

O novince Swap na ZRAM, jež se objeví ve Fedoře 33, píše Vojtěch Trefný na MojeFedora.cz. Ve výchozí instalaci Fedory bude swap, neboli odkládací prostor, vytvořen již pouze na ZRAM, neboli komprimován v paměti.

Ladislav Hagara | Komentářů: 13
11.8. 16:00 | Nová verze

Po více než 6 letech byla vydána nová verze 2.4.0 open source 2D fyzikálního enginu Box2D (Wikipedie). Videopředstavení na YouTube.

Ladislav Hagara | Komentářů: 2
11.8. 09:00 | Bezpečnostní upozornění

Příspěvek na blogu společnosti Check Point Software Technologies informuje o více než 400 zranitelnostech v SoC Snapdragon od společnosti Qualcomm. Detailněji v přednášce na YouTube z letošní konference DEF CON.

Ladislav Hagara | Komentářů: 9
11.8. 08:00 | Nová verze

Projekt KDE neon poskytuje oficiální sestavení prostředí Plasma a aplikací pro uživatele nebo vývojáře, testery aj. Základem systému je Ubuntu s dlouhodobou podporou, nově 20.04 „Focal Fossa“. Povýšení z předchozího 18.04 je možné. Jelikož obsahuje nejnovější vydání z upstreamu, závisí také na novější verzi knihoven Qt, což může v některých případech vést ke konfliktům s balíčky aplikací z repozitářů Ubuntu; např. Plasma 5.19 závisí na Qt 5.14 namísto verze 5.12 dostupné v Ubuntu.

Fluttershy, yay! | Komentářů: 0
Dokážete si představit, že by váš hlavní počítač (desktop, notebook) byl v současné době založen na architektuře jiné než x86 (x86_64)? Například ARM, POWER, RISC-V,…
 (13%)
 (12%)
 (55%)
 (14%)
 (5%)
Celkem 243 hlasů
 Komentářů: 14, poslední 10.8. 19:58
Rozcestník

Bezpečnostní chyba CVE-2018-14665 v X.Org

V X.Org, konkrétně v xorg-serveru 1.19.0 a novějších, byla nalezena bezpečnostní chyba CVE-2018-14665 zneužitelná k lokální eskalaci práv. Chyba byla opravena v upstream xorg-serveru 1.20.3.

25.10.2018 20:33 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

25.10.2018 23:12 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
Zneuziti pak vypada tak ze si nalouduju vlastni modul pres -modulepath a Xorg ma suid root ... ?
26.10.2018 00:00 Ladislav Hagara | skóre: 92 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
26.10.2018 00:46 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
To je jen prepsani (jakehokoliv) souboru logfilem. Ale jo, tak nejak jsem si to predstavoval, s tim -modulepath tam fakt pokud pustit jakykoliv kod jako root. Solidni, posledni dobou je to jedna verejna bezpecnostni chyba za druhou kolem linux desktopu.
26.10.2018 00:50 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
V prvnim komentari pise "allowing attackers with low privilege access to overwrite system files and subsequently execute arbitrary code."

To me ale fakt nenapada jak, mozna prepsat /etc/passwd a spolehat se na ten slavny not-a-bug v systemd, ktery by pak dal uzivateli roota?
Jendа avatar 26.10.2018 08:10 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
V tom PoC přepisují /etc/passwd (a dělají to na OpenBSD, kde systemd není). Můžeš ale také třeba přepsat crontab (příp. vytvořit /etc/cron.hourly/cokoli a počkat hodinu). Nebo třeba /etc/sudoers a pořídit si práva na sudo bez hesla.
26.10.2018 16:05 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
Jenze prepsat logfilem Xorg, to je ti k nicemu.
26.10.2018 13:00 Ladislav Hagara | skóre: 92 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
26.10.2018 16:07 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
Aha, dik! Ten tricek je v tom parametru "-fp" (default font path), kdy pak Xorg zapise do -logfile presne co mu zadas. Hezky.
26.10.2018 16:19 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
Ale to je pak vysledek:
<logfile .... >
[   841.402] (++) FontPath set to: 
    OUR_PAYLOAD
<logfile .....>
To ten PoC s ld preload prece nebude fungovat.
26.10.2018 18:44 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
Tak to funguje. Ten "bordel" navic se uspesne ignoruje.
27.10.2018 15:27 smazáno | skóre: 18 | blog: smazáno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
Otazka jestli by to slo obdobne zneuzit pokud by *vsechny* radky v logu zacinali timestamp.
Jendа avatar 26.10.2018 08:11 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba CVE-2018-14665 v X.Org
01:31 <@Jenda`> https://twitter.com/hackerfantastic/status/1055568290112831490
01:33 <@Jenda`> (tl;dr když je Xorg SUID, zapisuje logy jako root; uživatel může způsobit, že se do logu vypíše řádek, který lze interpretovat jako položka /etc/passwd, sudoers nebo crontabu)
01:34 <@Mrkva> omg
01:35 <@Mrkva> nejen ze zapisuje logy jako root, ale souboru ktery zada uzivatel
01:36 <@Mrkva> kdo si sakra myslel, ze je to dobry napad?

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.