abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Open source webový aplikační framework Django slaví 20. narozeniny
    dnes 22:22 | Komunita

    Open source webový aplikační framework Django slaví 20. narozeniny.

    Ladislav Hagara | Komentářů: 0
    DebConf25
    dnes 16:11 | Komunita

    V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.

    Ladislav Hagara | Komentářů: 0
    Před 30 lety se začala používat přípona .mp3
    dnes 11:33 | IT novinky

    Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.

    Ladislav Hagara | Komentářů: 14
    Commodore 64 Ultimate
    dnes 10:55 | IT novinky

    Výroba 8bitových domácích počítačů Commodore 64 byla ukončena v dubnu 1994. Po více než 30 letech byl představen nový oficiální Commodore 64 Ultimate (YouTube). S deskou postavenou na FPGA. Ve 3 edicích v ceně od 299 dolarů a plánovaným dodáním v říjnu a listopadu letošního roku.

    Ladislav Hagara | Komentářů: 16
    Reachy Mini, open source robot od Hugging Face
    včera 17:55 | Zajímavý projekt

    Společnost Hugging Face ve spolupráci se společností Pollen Robotics představila open source robota Reachy Mini (YouTube). Předobjednat lze lite verzi za 299 dolarů a wireless verzi s Raspberry Pi 5 za 449 dolarů.

    Ladislav Hagara | Komentářů: 11
    Počítačová hra DOGWALK
    11.7. 16:44 | Komunita

    Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.

    Ladislav Hagara | Komentářů: 3
    AI řešení náboru pracovníku pro McDonald's mělo přihlašovací jméno 123456 a heslo 123456
    11.7. 14:55 | Humor

    McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.

    Ladislav Hagara | Komentářů: 16
    Visual Studio Code a VSCodium 1.102
    11.7. 00:11 | Nová verze

    Byla vydána (𝕏) červnová aktualizace aneb nová verze 1.102 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.102 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    Apache HTTP Server (httpd) 2.4.64 řeší 8 bezpečnostních chyb
    10.7. 21:00 | Bezpečnostní upozornění

    Byla vydána nová verze 2.4.64 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 8 bezpečnostních chyb.

    Ladislav Hagara | Komentářů: 4
    Grok 4
    10.7. 15:22 | Nová verze

    Společnost xAI na síti 𝕏 představila Grok 4, tj. novou verzi svého AI LLM modelu Grok.

    Ladislav Hagara | Komentářů: 12
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (26%)
     (7%)
     (3%)
     (1%)
     (1%)
     (4%)
    Celkem 393 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Závažná bezpečnostní chyba v X
    Štítky: není přiřazen žádný štítek

    Závažná bezpečnostní chyba v X

    Včera bylo firmou Coverity vyhlášeno, že našli a opravili nejzávažnější bezpečnostní chybu v X Window Systemu za posledních šest let. Chybějící závorka v kódu verzí X11R6.9.0 a X1R7.0.0 umožňovala lokálně vykonat libovolný kód s právy roota.

    3.5.2006 15:31 | Jan Grmela | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    JiK avatar 3.5.2006 15:51 JiK | skóre: 13 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    to je docela ostuda.
    Jirka Cech
    belisarivs avatar 3.5.2006 15:57 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Proc ostuda? Takove zapichy se deji normalne. Neni zas az tak tezke prehlednout jednu zavorku.
    IRC is just multiplayer notepad.
    JiK avatar 3.5.2006 16:29 JiK | skóre: 13 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    no, podle mne to jen vrha ponekud spatne svetlo na proklamovanou bezpecnost Open Source programu. Takovy ten argument, ze kazdou radku kodu ctou tisice oci, ze tisice lidi prohlednou vse a vse je 100x zkontrolovano. Rekl bych ze v realu tu radku cte casto jen jeji autor. Je to jako ve vede, muj sef, stary profesor pred duchodem rika, ze casto i multimilionove projekty jsou posuzovany podle jejich abstraktu protoze i recenzenti jsou jen lidi a casto nemaj cas ani chut je procitat, takze to projedou nekde v letadle cestou na konferenci...podivaj se na zacatek a konec, zkontroluji par obrazku a udelaj si nazor...

    Vedecke clanky jsou totez, kolegovi prosel a vysel clanek ve velmi renomovanem zahranicnim casopise s hrubou chybou v druhem slove abstraktu. Bylo to zjevne a jednoznacne, chyba byla Z misto S v mnoznem cisle anglickeho slova NanotubeZ. Je tedy zjevne, ze to poradne necetl on (autor), jeho spouautori, recenzenti, etitor ani sazec.

    Otazkou potom zustava, zda je podobne 'nedbale' napsany trebas i crypto software, takze asymetricke sifry jsou sice neprolomitelne, ale 'nekdo' nekde prehlidl zavorku a misto nahodneho klice je to klic pseudonahodny, dobre predikovatelny a NSA si cte sifrovane maily a smeje se pod vousy...
    Jirka Cech
    3.5.2006 16:51 Quactuda | blog: Muj_mily_denicku | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Mozna to pochopis, az nekdy udelas neumyslne nejakou botu. Pripomina mi to pribeh, ktery mi vykladal otec o jednom cloveku. Ten se vzdy chlubil tim, jak v zivote nic nezapomnel, az jednou zapomnel do nove masiny za 5 milionu nalit olej a ta zhorela.
    5.5.2006 10:24 Jozef Vondrák | skóre: 19
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    rika se shorela
    3.5.2006 16:56 Jindřich 'GoldenShit' Plešinger | skóre: 16 | blog: Nevěřící | Dolní Bousov
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
       Přesně tak. Je dobré používat software s otevřeným kódem, ale tato vlastnost není zárukou kvality a správnosti aplikace. Ty tisíce programátorů a kontrolorů bych rád podkal a rád bych poznal ty, co opustili programování v Bashy, PHPku, Perlu, Pythonu a jedou natvrdo a s maximální dokonalostí a pečlivostí v Cčku a C++ku. Každý má své práce dost a tak jediné čeho je většina Linuxáků schopná je kompilace, tvorba balíčků a jejich instalace. Kolik kompilačních expertů si pozorně projde .log a hledá příčiny jednotlivých warningů a snaží se najít jejich příčinu a snaží se ji odstranit? Nikoho takového neznám. Jen pečlivý autor programátor řeší každou sebemenší hovadinu.

    PS: Většina asi používá gcc. To by bylo, kdyby někdo otestoval icc a hledal všechny možný i nemožný zádrhele.
    LINUKS = Lidová Nacionálně Ultralevicová Komunistická Strana
    3.5.2006 16:59 Abraxis
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Naopak, tohle vrha dobre svetlo na OSS:

    1, Bez dostupnych zdrojovych kodu by chyba nebyla nalezena - tzn. teoreticka vyhoda closed-source, dokud si neuvedomis, ze ti OPRAVDU nebezpecni pirati (ala Cina :-))) uz daaavno zdrojaky Windows maji! Nemluve o tom, ze oprava je dostupna v podstate okamzite a ze kdo OPRAVDU potrebuje bezpecny system, tak ze si ji muze OKAMZITE zaplatovat.

    2, To, ze udelas preklep "NanotubeZ/S" je normalni - jak ukazal nedavny vyzkum, tak kydz psies sovla prezahene, tak to lidi "normalne" proctou - proste "provozni slepota". Podivej se naschval do opravy: http://xorg.freedesktop.org/releases/X11R7.0/patches/xorg-server-1.0.1-geteuid.diff - jedna se opravdu o hnusne prehlednuti.

    3, Crypto SW - tady se jedna o dost odlisny kus SW - Xka jsou hroznej balast (at uz protokol, tak implementace). Crypto SW byva vetsinou relativne (!) jednoduchy, spravnost algoritmu se dokazuje "na papire" matematicky a pak se kontroluje implementace vuci "papirovemu algoritmu".
    JiK avatar 3.5.2006 17:16 JiK | skóre: 13 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    ad 1) V zadnem pripade jsem neobhajoval windows a closed source. Nicmene mission critical systemy (avionika bojoveho letadla, zbranove systemy, sonary, jaderne elektrarny, satelity,...) myslim moc Linux ani OSS nepouzivaji, budou mit hadam nejakou specialni implementaci, ale je to myslim casto closed source. Pokud nekdo vi vic, jsem lacny se neco naucit.

    ad 2) To, ze je to normalni prilis nemeni na tom, ze mit chybu v druhem(!) slove clanku je blbou vizitkou nejen autora, ale predevsim vsech referee a editora. Casopis vazne nebyly nejake Chemicke listy, ale spise neco jako Phys. Rev. B, Science ci Nature. Jmenovat ho nechci, prestoze nejsem spoluautor.

    ad 3) Proc bych mel verit, ze v crypto SW neni umyslne vlozena chybka. Pokud by nebyla, je jiste dost lidi (NSA, Mossad, cinani, rusove) co by dali trebas cely rocni rozpocet na to aby byla. Ja do crypto vidim jen velmi, velmi malo, a vim, ze bych nenasel ani chybu v implementaci, a uz tuplem ne tak umyslne vlozenou nenapadnou prebivajici zavorku. Nemusis utocit na algoritmus, ten je dokonaly, stacilo by nejak 'trochu' snizit nahodnost klice, nebo ho trebas mit perfektne nahodny, ale 1 ze skupiny 10.000 klicu, ktere by se nejak opakovali. Kdo jich generuje 10k a srovnava je proti sobe? Navic nerikam, ze to tak je, jen zdrave pochybuju o dokonalosti implementace jinak dokonalych algoritmu...
    Jirka Cech
    3.5.2006 18:45 Abraxis
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    1, No, prikladem budiz davno kriznik, ktery museli odtahnout, protoze mu zhavarovaly Windows... Ale u ruznych spec. systemu se nejspise pouzivaji veci typu VxWorks. Rozhodne nema cenu vymyslet OS od zacatku - proste tam budes mit vic chyb nez v nejakem jinem, uz odzkousenem, projektu. To, ze se tam pouzivaji tyto RT O/S vyplyva spise z podstaty veci (potrebuji hard-realtime OS a Linux/Windows holt neni na tohle designovan).

    2, Ja vim, ale jak rikam - tyhle veci se hrozne snadno prehlednou, zvlast kdyz se jedna o slovo, ktere kazdy pouziva velmi bezne, tak si tam rovnou "doplni" to, co tam ma byt. Druha vec je, ze by tohle mel odchytit obycejny spell-checker.

    3, No, zalezi jaky crypto-SW mas na mysli... Ale jak se rika, zakladem kazdeho kryptoanalytika by mela byt zdrava paranoia ;-)
    4.5.2006 00:27 Messa | skóre: 39 | blog: Messa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Rekl bych ze v realu tu radku cte casto jen jeji autor.
    Na podobný chytrý výplody si vzpomenu vždycky, když si čtu kód nějakého programu, abych se z něj něco naučil nebo abych zjistil, jak je něco konkrétně uděláno :-D Ale chybu bych asi moc nerozpoznal… No, když se tak dívám na ten patch, možná škoda, že jsem si nepročítal zdrojáky Xek ;-)
    5.5.2006 08:21 Martin Povolný | blog: Krev na widlich | Brno
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Že kód čte jen autor samozřejmě ve většině případů u používaného software pravda nebude. Ale že to bude poměrně úzký okruh lidí to pravda bude. Nicméně čím kritičtější kus kódu, tím ho velmi pravděpodobně bude číst více lidí.

    Myslím si, že hlavní problém je v tom, že lidé většinou prostě nečtou kód jen tak. Například u nás ve firmě čteme ten kód, s kterým jsou nějaké problémy, nebo ho potřebujeme upravit -- ať už není dost rychlý, nepodporuje nějaké zařízení, nerozumí si s jiným softwarem, nebo není dost stabilní (řada RUBYovým knihoven, cyrus, samba, libnss-ldap, ...). Zákazníci nám nezaplatí za to, abychom jim přečetli to a to, protože to používají a je to pro ně důležité. Když něco funguje, tak se na to prostě nesahá.

    Musím říct, že kvalita kódu se liší projekt od projektu, někdy je radost se podívat, jindy je to hrozný a člověk by raději nevěděl, jak moc.

    Ale dřív jsem dělal u několika closed-source firem a tam to bylo velmi podobné. Spíš horší, protože programátoři často psali s vědomím, že po nich to určitě nikdo číst nebude.
    3.5.2006 16:22 XXX | skóre: 4 | blog: CAD | X
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    á, bůh promluvil...
    JiK avatar 3.5.2006 16:31 JiK | skóre: 13 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    probuh, nevztekej se a nenapadej mne, ja jen napsal, ze pokud se ti nechce cist man a ucit se anglicky, jsou mozna vhodnejsi jine operacni systemy nez linux. Nebyla v tom ani jedna urazka, jen dobre minene doporuceni.
    Jirka Cech
    3.5.2006 16:38 XXX | skóre: 4 | blog: CAD | X
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    díky bože za ty rady. :-) Pane GURU.
    3.5.2006 16:44 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Ano, právo napadat jiné je vyhrazeno jen a jen tobě.
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    3.5.2006 19:13 Quactuda | blog: Muj_mily_denicku | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    to je docela ostuda.
    Proc? Schvalne jsem navrhl anketu, abych zjistil, jestli uvedene verze s chybou nekdo pouziva. Ja osobne mam Ubuntu 5.10 se vsemi updaty a mam verzi X11R6.8.2, ktera vysla mimochodem minuly rok. To, ze se jedna o nejvetsi chybu za poslednich 6 let, neznamena, ze je 6 let stara ;-)
    JiK avatar 3.5.2006 20:22 JiK | skóre: 13 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    ok, tohle mi v prvnim okamziku nedocvaklo....
    Jirka Cech
    4.5.2006 13:23 camlost | skóre: 7
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    JiK: "to je docela ostuda."

    ano, je ostuda. aspoň je na tom vidět, proč se nemají názvy funkcí shodovat s názvy proměnných a proč se názvy proměnných nemají lišit "velikostí" znaků (tmpstr vs. tmpStr).
    A slow biker.
    3.5.2006 16:49 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Mě naštěstí x-server pod rootem neběží. Takže jsem v klidu.

    Ale fakt bych si přál, aby v linuxu bylo možné jemnější rozlišení uživatelský práv než root - bežný uživatel.
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    3.5.2006 16:54 Spike | skóre: 30 | blog: Communicator | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Dost možná se pletu... ale nemuselo donedávna X (resp. nějaká část) běžet jako setuid root...?
    3.5.2006 16:59 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Myslím, že ne. Mě X-ka běží pod běžným uživatelem odnepaměti.

    K těm právům - představoval bych si něco jako Process Rights Management v Solaris 10.
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    3.5.2006 21:43 Spike | skóre: 30 | blog: Communicator | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    A proto, aby ti ta Xka odnepaměti běžala pod normálním uživatelem, musely být ty binárky setuid root... ;)
    3.5.2006 17:56 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Jenže o tom ta chyba je - program získá práva roota. Nemusíte program (Xka) provozovat pod rootem... V klidu tedy nejste.

    To s tou jemností nechápu, tohle je myslím jediné rozumné řešení (root/neroot).
    Later --- Lukáš Zapletal
    3.5.2006 18:08 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    V klidu jsem a myslím si, že i oprávněně. xinit ani Xorg nemají nastaven suid bit, takže fakt nevím jak by toho roota mohli dostat. To by snad musela být chyba v jádře, ne?
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    4.5.2006 08:14 rastos | skóre: 63 | blog: rastos
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    myslím si, že i oprávněně. xinit ani Xorg nemají nastaven suid bit,

    Fakt? 
    $ ls -l `which Xorg`
-rws--x--x  1 root bin 1830912 2005-09-26 02:37 /usr/X11R6/bin/Xorg*
$ ps axu |grep X
root 3860  0.4  4.3 182996 33364 ?   R    May03   5:01 /usr/X11R6/bin/X
...

    (Slackware)
    5.5.2006 00:14 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Kolega přeci netvrdil, že u vás nemají ty soubory suid. Tvrdil, že on může být v klidu, protože u něj ho nemají.
    3.5.2006 18:10 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    root/neroot je podle mě největší omyl linuxu, proč by měl mít program, kterej dělá řekněme ntp server práva číst a měnit data uživatelů
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    3.5.2006 21:44 Spike | skóre: 30 | blog: Communicator | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Jo, proč? Ještě že ho můžeš spustit pod jiným uživatelem.
    3.5.2006 22:09 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    pak ale těžko poběží na portu, na jakém se to očekává
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    3.5.2006 22:27 Martin Beránek | skóre: 33 | blog: mousehouse | Brno
    Rozbalit Rozbalit vše Re: Zavazna bezpecnostni chyba v X
    nejsem zadnej systemovej programator, ale mam pocit ze vetsina serveru, kere maji bezet na privilegovanych portech se nastartuje z pravy roota a pak se samy vzdaji prav. (proto se napriklad pousti tomcat az na 8080, protoze v Jave se nic takoveho udelat neda)
    never use rm after eight
    4.5.2006 07:15 cronin | skóre: 49
    Rozbalit Rozbalit vše Re: Zavazna bezpecnostni chyba v X
    Apropos, v každom trochu slušnom unixovskom systéme sa predsa dá nastaviť, ktoré porty sú "nízke", t.j. rezervované pre root-a. Že sú to porty do 1023 vrátane, je dané historicky a je to defaultné nastavenie, ktoré je možné zmeniť.
    Josef Kufner avatar 3.5.2006 18:08 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X 
    $ ls -l `whereis X`
ls: X:: není souborem ani adresářem
-rwsr-sr-x 1 root root 7860 2005-09-02 00:44 /usr/bin/X11/X
-rwsr-sr-x 1 root root 7860 2005-09-02 00:44 /usr/X11R6/bin/X
    Opravdu ne?
    Hello world ! Segmentation fault (core dumped)
    3.5.2006 18:18 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    startx mi spustí xinit a ten /etc/X11/X 
    -rwxr-xr-x  1 root root ... /usr/X11R6/bin/xinit*
lrwxrwxrwx  1 root root ... /etc/X11/X -> ../../usr/X11R6/bin/Xorg*
-rwxr-xr-x  1 root root ... /usr/X11R6/bin/Xorg*
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    4.5.2006 01:38 mimo4
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    a mne :-)

    -rwxr-xr-x 1 ruut ruut ... /usr/X11R6/bin/xinit*

    lrwxrwxrwx 1 ruut ruut ... /etc/X11/X -> ../../usr/X11R6/bin/Xorg*

    -rwxr-xr-x 1 ruut ruut ... /usr/X11R6/bin/Xorg*
    4.5.2006 07:19 Kyosuke | skóre: 28 | blog: nalady_v_modre
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Možná jsem blbej neprogramátor, ale je nějaký extra dobrý důvod pro to, aby tam dotyčná pasáž byla dvakrát a potenciálně i víckrát a nebylo tam jen něco jako 
    if (getuid() == 0 || geteuid() != 0) dangerous_privileged_mode=TRUE;
    a pak jednak používat if(dangerous_privileged_mode) a taky to používat co nejmíň? Už jen fakt, že se takovýhle test dělá dvakrát (a možná i víckrát) ve mně nevzbuzuje moc důvěru, trošku mi to připomíná tu esej „How To Write Unmaintainable Code (Ensure a job for life ;-))“. (No dobře, podle té eseje by to bylo spíš: Nejlépe testovat jednu a tutéž podmínku na více místech a třeba ještě ji pokaždé zapsat jinak, ale aby dávala stejný výsledek...a maintenancer ať si třeba dupe vzteky... :-D)
    Jak moc jsou ábíčkáři inteligentní? ;-)
    4.5.2006 07:40 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Kdo z nás píše jenom čisté a elegantní kódy ;-)? Je fakt, že když má člověk něco zveřejnit, tak se většinou snaží ten kód uhladit (to je výhoda OSS), ale ne vždycky se to povede.
    When your hammer is C++, everything begins to look like a thumb.
    4.5.2006 08:29 Kyosuke | skóre: 28 | blog: nalady_v_modre
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Nojo, člověk se občas nestačí divit... :-D
    Jak moc jsou ábíčkáři inteligentní? ;-)
    4.5.2006 08:54 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Proč je ta chyba "nejzávažnější" za posledních šest let? Co třeba CVE-2004-0084 a další, které šlo zneužít i když X server neměl setuid bit?
    4.5.2006 09:01 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Nejzávažnější je proto, že si společnost Coverity může do reklamních materiálů napsat - náš nástroj odhalil nejhorší bezpečnostní chybu v OpenSource produktu Xorg za posledních 6 let. A to už přeci zní, ne? ;-)
    When your hammer is C++, everything begins to look like a thumb.

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.