abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    CVE-2025-14847 aneb MongoBleed
    dnes 03:33 | Bezpečnostní upozornění

    V dokumentově orientované databázi MongoDB byla nalezena a v upstreamu již opravena kritická bezpečností chyba CVE-2025-14847 aneb MongoBleed.

    Ladislav Hagara | Komentářů: 0
    Nalezena kopie Unixu V4
    včera 23:11 | IT novinky

    Při úklidu na Utažské univerzitě se ve skladovacích prostorách náhodou podařilo nalézt magnetickou pásku s kopií Unixu V4. Páska byla zaslána do počítačového muzea, kde se z pásky úspěšně podařilo extrahovat data a Unix spustit. Je to patrně jediný známý dochovaný exemplář tohoto 52 let starého Unixu, prvního vůbec programovaného v jazyce C.

    🇨🇽 | Komentářů: 0
    FFmpeg nechal smazat repozitář porušující LGPL
    včera 15:55 | Komunita

    FFmpeg nechal kvůli porušení autorských práv odstranit z GitHubu jeden z repozitářů patřících čínské technologické firmě Rockchip. Důvodem bylo porušení LGPL ze strany Rockchipu. Rockchip byl FFmpegem na porušování LGPL upozorněn již téměř před dvěma roky.

    🇨🇽 | Komentářů: 5
    witr (why-is-this-running)
    včera 15:44 | Zajímavý software

    K dispozici je nový CLI nástroj witr sloužící k analýze běžících procesů. Název je zkratkou slov why-is-this-running, 'proč tohle běží'. Klade si za cíl v 'jediném, lidsky čitelném, výstupu vysvětlit odkud daný spuštěný proces pochází, jak byl spuštěn a jaký řetězec systémů je zodpovědný za to, že tento proces právě teď běží'. Witr je napsán v jazyce Go.

    🇨🇽 | Komentářů: 1
    Yazi 25.12.29
    včera 15:33 | Zajímavý software

    Yazi je správce souborů běžící v terminálu. Napsán je v programovacím jazyce Rust. Podporuje asynchronní I/O operace. Vydán byl v nové verzi 25.12.29. Instalovat jej lze také ze Snapcraftu.

    Ladislav Hagara | Komentářů: 1
    39C3 (Chaos Communication Congress)
    26.12. 18:44 | Komunita

    Od soboty do úterý probíhá v Hamburku konference 39C3 (Chaos Communication Congress) věnovaná také počítačové bezpečnosti nebo hardwaru. Program (jiná verze) slibuje řadu zajímavých přednášek. Streamy a záznamy budou k dispozici na media.ccc.de.

    Ladislav Hagara | Komentářů: 0
    Phoenix (Xserver)
    26.12. 13:22 | Zajímavý software

    Byl představen nový Xserver Phoenix, kompletně od nuly vyvíjený v programovacím jazyce Zig. Projekt Phoenix si klade za cíl být moderní alternativou k X.Org serveru.

    🇨🇽 | Komentářů: 7
    XLibre Xserver 25.1.0
    26.12. 13:11 | Nová verze

    XLibre Xserver byl 21. prosince vydán ve verzi 25.1.0, 'winter solstice release'. Od založení tohoto forku X.Org serveru se jedná o vůbec první novou minor verzi (inkrementovalo se to druhé číslo v číselném kódu verze).

    🇨🇽 | Komentářů: 0
    Wayback 0.3
    26.12. 03:33 | Nová verze

    Wayback byl vydán ve verzi 0.3. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

    Ladislav Hagara | Komentářů: 0
    Ruby 4.0.0
    25.12. 14:44 | Nová verze

    Byla vydána verze 4.0.0 programovacího jazyka Ruby (Wikipedie). S Ruby Box a ZJIT. Ruby lze vyzkoušet na webové stránce TryRuby. U příležitosti 30. narozenin, první veřejná verze Ruby 0.95 byla oznámena 21. prosince 1995, proběhl redesign webových stránek.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kdo vám letos nadělí dárek?
     (33%)
     (1%)
     (23%)
     (1%)
     (1%)
     (1%)
     (11%)
     (12%)
     (16%)
    Celkem 177 hlasů
     Komentářů: 18, poslední 24.12. 15:29
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Závažná bezpečnostní chyba v X
    Štítky: není přiřazen žádný štítek

    Závažná bezpečnostní chyba v X

    Včera bylo firmou Coverity vyhlášeno, že našli a opravili nejzávažnější bezpečnostní chybu v X Window Systemu za posledních šest let. Chybějící závorka v kódu verzí X11R6.9.0 a X1R7.0.0 umožňovala lokálně vykonat libovolný kód s právy roota.

    3.5.2006 15:31 | Jan Grmela | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    JiK avatar 3.5.2006 15:51 JiK | skóre: 13 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    to je docela ostuda.
    Jirka Cech
    belisarivs avatar 3.5.2006 15:57 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Proc ostuda? Takove zapichy se deji normalne. Neni zas az tak tezke prehlednout jednu zavorku.
    IRC is just multiplayer notepad.
    JiK avatar 3.5.2006 16:29 JiK | skóre: 13 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    no, podle mne to jen vrha ponekud spatne svetlo na proklamovanou bezpecnost Open Source programu. Takovy ten argument, ze kazdou radku kodu ctou tisice oci, ze tisice lidi prohlednou vse a vse je 100x zkontrolovano. Rekl bych ze v realu tu radku cte casto jen jeji autor. Je to jako ve vede, muj sef, stary profesor pred duchodem rika, ze casto i multimilionove projekty jsou posuzovany podle jejich abstraktu protoze i recenzenti jsou jen lidi a casto nemaj cas ani chut je procitat, takze to projedou nekde v letadle cestou na konferenci...podivaj se na zacatek a konec, zkontroluji par obrazku a udelaj si nazor...

    Vedecke clanky jsou totez, kolegovi prosel a vysel clanek ve velmi renomovanem zahranicnim casopise s hrubou chybou v druhem slove abstraktu. Bylo to zjevne a jednoznacne, chyba byla Z misto S v mnoznem cisle anglickeho slova NanotubeZ. Je tedy zjevne, ze to poradne necetl on (autor), jeho spouautori, recenzenti, etitor ani sazec.

    Otazkou potom zustava, zda je podobne 'nedbale' napsany trebas i crypto software, takze asymetricke sifry jsou sice neprolomitelne, ale 'nekdo' nekde prehlidl zavorku a misto nahodneho klice je to klic pseudonahodny, dobre predikovatelny a NSA si cte sifrovane maily a smeje se pod vousy...
    Jirka Cech
    3.5.2006 16:51 Quactuda | blog: Muj_mily_denicku | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Mozna to pochopis, az nekdy udelas neumyslne nejakou botu. Pripomina mi to pribeh, ktery mi vykladal otec o jednom cloveku. Ten se vzdy chlubil tim, jak v zivote nic nezapomnel, az jednou zapomnel do nove masiny za 5 milionu nalit olej a ta zhorela.
    5.5.2006 10:24 Jozef Vondrák | skóre: 19
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    rika se shorela
    3.5.2006 16:56 Jindřich 'GoldenShit' Plešinger | skóre: 16 | blog: Nevěřící | Dolní Bousov
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
       Přesně tak. Je dobré používat software s otevřeným kódem, ale tato vlastnost není zárukou kvality a správnosti aplikace. Ty tisíce programátorů a kontrolorů bych rád podkal a rád bych poznal ty, co opustili programování v Bashy, PHPku, Perlu, Pythonu a jedou natvrdo a s maximální dokonalostí a pečlivostí v Cčku a C++ku. Každý má své práce dost a tak jediné čeho je většina Linuxáků schopná je kompilace, tvorba balíčků a jejich instalace. Kolik kompilačních expertů si pozorně projde .log a hledá příčiny jednotlivých warningů a snaží se najít jejich příčinu a snaží se ji odstranit? Nikoho takového neznám. Jen pečlivý autor programátor řeší každou sebemenší hovadinu.

    PS: Většina asi používá gcc. To by bylo, kdyby někdo otestoval icc a hledal všechny možný i nemožný zádrhele.
    LINUKS = Lidová Nacionálně Ultralevicová Komunistická Strana
    3.5.2006 16:59 Abraxis
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Naopak, tohle vrha dobre svetlo na OSS:

    1, Bez dostupnych zdrojovych kodu by chyba nebyla nalezena - tzn. teoreticka vyhoda closed-source, dokud si neuvedomis, ze ti OPRAVDU nebezpecni pirati (ala Cina :-))) uz daaavno zdrojaky Windows maji! Nemluve o tom, ze oprava je dostupna v podstate okamzite a ze kdo OPRAVDU potrebuje bezpecny system, tak ze si ji muze OKAMZITE zaplatovat.

    2, To, ze udelas preklep "NanotubeZ/S" je normalni - jak ukazal nedavny vyzkum, tak kydz psies sovla prezahene, tak to lidi "normalne" proctou - proste "provozni slepota". Podivej se naschval do opravy: http://xorg.freedesktop.org/releases/X11R7.0/patches/xorg-server-1.0.1-geteuid.diff - jedna se opravdu o hnusne prehlednuti.

    3, Crypto SW - tady se jedna o dost odlisny kus SW - Xka jsou hroznej balast (at uz protokol, tak implementace). Crypto SW byva vetsinou relativne (!) jednoduchy, spravnost algoritmu se dokazuje "na papire" matematicky a pak se kontroluje implementace vuci "papirovemu algoritmu".
    JiK avatar 3.5.2006 17:16 JiK | skóre: 13 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    ad 1) V zadnem pripade jsem neobhajoval windows a closed source. Nicmene mission critical systemy (avionika bojoveho letadla, zbranove systemy, sonary, jaderne elektrarny, satelity,...) myslim moc Linux ani OSS nepouzivaji, budou mit hadam nejakou specialni implementaci, ale je to myslim casto closed source. Pokud nekdo vi vic, jsem lacny se neco naucit.

    ad 2) To, ze je to normalni prilis nemeni na tom, ze mit chybu v druhem(!) slove clanku je blbou vizitkou nejen autora, ale predevsim vsech referee a editora. Casopis vazne nebyly nejake Chemicke listy, ale spise neco jako Phys. Rev. B, Science ci Nature. Jmenovat ho nechci, prestoze nejsem spoluautor.

    ad 3) Proc bych mel verit, ze v crypto SW neni umyslne vlozena chybka. Pokud by nebyla, je jiste dost lidi (NSA, Mossad, cinani, rusove) co by dali trebas cely rocni rozpocet na to aby byla. Ja do crypto vidim jen velmi, velmi malo, a vim, ze bych nenasel ani chybu v implementaci, a uz tuplem ne tak umyslne vlozenou nenapadnou prebivajici zavorku. Nemusis utocit na algoritmus, ten je dokonaly, stacilo by nejak 'trochu' snizit nahodnost klice, nebo ho trebas mit perfektne nahodny, ale 1 ze skupiny 10.000 klicu, ktere by se nejak opakovali. Kdo jich generuje 10k a srovnava je proti sobe? Navic nerikam, ze to tak je, jen zdrave pochybuju o dokonalosti implementace jinak dokonalych algoritmu...
    Jirka Cech
    3.5.2006 18:45 Abraxis
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    1, No, prikladem budiz davno kriznik, ktery museli odtahnout, protoze mu zhavarovaly Windows... Ale u ruznych spec. systemu se nejspise pouzivaji veci typu VxWorks. Rozhodne nema cenu vymyslet OS od zacatku - proste tam budes mit vic chyb nez v nejakem jinem, uz odzkousenem, projektu. To, ze se tam pouzivaji tyto RT O/S vyplyva spise z podstaty veci (potrebuji hard-realtime OS a Linux/Windows holt neni na tohle designovan).

    2, Ja vim, ale jak rikam - tyhle veci se hrozne snadno prehlednou, zvlast kdyz se jedna o slovo, ktere kazdy pouziva velmi bezne, tak si tam rovnou "doplni" to, co tam ma byt. Druha vec je, ze by tohle mel odchytit obycejny spell-checker.

    3, No, zalezi jaky crypto-SW mas na mysli... Ale jak se rika, zakladem kazdeho kryptoanalytika by mela byt zdrava paranoia ;-)
    4.5.2006 00:27 Messa | skóre: 39 | blog: Messa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Rekl bych ze v realu tu radku cte casto jen jeji autor.
    Na podobný chytrý výplody si vzpomenu vždycky, když si čtu kód nějakého programu, abych se z něj něco naučil nebo abych zjistil, jak je něco konkrétně uděláno :-D Ale chybu bych asi moc nerozpoznal… No, když se tak dívám na ten patch, možná škoda, že jsem si nepročítal zdrojáky Xek ;-)
    5.5.2006 08:21 Martin Povolný | blog: Krev na widlich | Brno
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Že kód čte jen autor samozřejmě ve většině případů u používaného software pravda nebude. Ale že to bude poměrně úzký okruh lidí to pravda bude. Nicméně čím kritičtější kus kódu, tím ho velmi pravděpodobně bude číst více lidí.

    Myslím si, že hlavní problém je v tom, že lidé většinou prostě nečtou kód jen tak. Například u nás ve firmě čteme ten kód, s kterým jsou nějaké problémy, nebo ho potřebujeme upravit -- ať už není dost rychlý, nepodporuje nějaké zařízení, nerozumí si s jiným softwarem, nebo není dost stabilní (řada RUBYovým knihoven, cyrus, samba, libnss-ldap, ...). Zákazníci nám nezaplatí za to, abychom jim přečetli to a to, protože to používají a je to pro ně důležité. Když něco funguje, tak se na to prostě nesahá.

    Musím říct, že kvalita kódu se liší projekt od projektu, někdy je radost se podívat, jindy je to hrozný a člověk by raději nevěděl, jak moc.

    Ale dřív jsem dělal u několika closed-source firem a tam to bylo velmi podobné. Spíš horší, protože programátoři často psali s vědomím, že po nich to určitě nikdo číst nebude.
    3.5.2006 16:22 XXX | skóre: 4 | blog: CAD | X
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    á, bůh promluvil...
    JiK avatar 3.5.2006 16:31 JiK | skóre: 13 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    probuh, nevztekej se a nenapadej mne, ja jen napsal, ze pokud se ti nechce cist man a ucit se anglicky, jsou mozna vhodnejsi jine operacni systemy nez linux. Nebyla v tom ani jedna urazka, jen dobre minene doporuceni.
    Jirka Cech
    3.5.2006 16:38 XXX | skóre: 4 | blog: CAD | X
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    díky bože za ty rady. :-) Pane GURU.
    3.5.2006 16:44 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Ano, právo napadat jiné je vyhrazeno jen a jen tobě.
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    3.5.2006 19:13 Quactuda | blog: Muj_mily_denicku | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    to je docela ostuda.
    Proc? Schvalne jsem navrhl anketu, abych zjistil, jestli uvedene verze s chybou nekdo pouziva. Ja osobne mam Ubuntu 5.10 se vsemi updaty a mam verzi X11R6.8.2, ktera vysla mimochodem minuly rok. To, ze se jedna o nejvetsi chybu za poslednich 6 let, neznamena, ze je 6 let stara ;-)
    JiK avatar 3.5.2006 20:22 JiK | skóre: 13 | blog: Jirkoviny | Virginia
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    ok, tohle mi v prvnim okamziku nedocvaklo....
    Jirka Cech
    4.5.2006 13:23 camlost | skóre: 7
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    JiK: "to je docela ostuda."

    ano, je ostuda. aspoň je na tom vidět, proč se nemají názvy funkcí shodovat s názvy proměnných a proč se názvy proměnných nemají lišit "velikostí" znaků (tmpstr vs. tmpStr).
    A slow biker.
    3.5.2006 16:49 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Mě naštěstí x-server pod rootem neběží. Takže jsem v klidu.

    Ale fakt bych si přál, aby v linuxu bylo možné jemnější rozlišení uživatelský práv než root - bežný uživatel.
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    3.5.2006 16:54 Spike | skóre: 30 | blog: Communicator | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Dost možná se pletu... ale nemuselo donedávna X (resp. nějaká část) běžet jako setuid root...?
    3.5.2006 16:59 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Myslím, že ne. Mě X-ka běží pod běžným uživatelem odnepaměti.

    K těm právům - představoval bych si něco jako Process Rights Management v Solaris 10.
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    3.5.2006 21:43 Spike | skóre: 30 | blog: Communicator | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    A proto, aby ti ta Xka odnepaměti běžala pod normálním uživatelem, musely být ty binárky setuid root... ;)
    3.5.2006 17:56 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Jenže o tom ta chyba je - program získá práva roota. Nemusíte program (Xka) provozovat pod rootem... V klidu tedy nejste.

    To s tou jemností nechápu, tohle je myslím jediné rozumné řešení (root/neroot).
    Later --- Lukáš Zapletal
    3.5.2006 18:08 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    V klidu jsem a myslím si, že i oprávněně. xinit ani Xorg nemají nastaven suid bit, takže fakt nevím jak by toho roota mohli dostat. To by snad musela být chyba v jádře, ne?
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    4.5.2006 08:14 rastos | skóre: 63 | blog: rastos
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    myslím si, že i oprávněně. xinit ani Xorg nemají nastaven suid bit,

    Fakt? 
    $ ls -l `which Xorg`
-rws--x--x  1 root bin 1830912 2005-09-26 02:37 /usr/X11R6/bin/Xorg*
$ ps axu |grep X
root 3860  0.4  4.3 182996 33364 ?   R    May03   5:01 /usr/X11R6/bin/X
...

    (Slackware)
    5.5.2006 00:14 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Kolega přeci netvrdil, že u vás nemají ty soubory suid. Tvrdil, že on může být v klidu, protože u něj ho nemají.
    3.5.2006 18:10 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    root/neroot je podle mě největší omyl linuxu, proč by měl mít program, kterej dělá řekněme ntp server práva číst a měnit data uživatelů
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    3.5.2006 21:44 Spike | skóre: 30 | blog: Communicator | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Jo, proč? Ještě že ho můžeš spustit pod jiným uživatelem.
    3.5.2006 22:09 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    pak ale těžko poběží na portu, na jakém se to očekává
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    3.5.2006 22:27 Martin Beránek | skóre: 33 | blog: mousehouse | Brno
    Rozbalit Rozbalit vše Re: Zavazna bezpecnostni chyba v X
    nejsem zadnej systemovej programator, ale mam pocit ze vetsina serveru, kere maji bezet na privilegovanych portech se nastartuje z pravy roota a pak se samy vzdaji prav. (proto se napriklad pousti tomcat az na 8080, protoze v Jave se nic takoveho udelat neda)
    never use rm after eight
    4.5.2006 07:15 cronin | skóre: 49
    Rozbalit Rozbalit vše Re: Zavazna bezpecnostni chyba v X
    Apropos, v každom trochu slušnom unixovskom systéme sa predsa dá nastaviť, ktoré porty sú "nízke", t.j. rezervované pre root-a. Že sú to porty do 1023 vrátane, je dané historicky a je to defaultné nastavenie, ktoré je možné zmeniť.
    Josef Kufner avatar 3.5.2006 18:08 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X 
    $ ls -l `whereis X`
ls: X:: není souborem ani adresářem
-rwsr-sr-x 1 root root 7860 2005-09-02 00:44 /usr/bin/X11/X
-rwsr-sr-x 1 root root 7860 2005-09-02 00:44 /usr/X11R6/bin/X
    Opravdu ne?
    Hello world ! Segmentation fault (core dumped)
    3.5.2006 18:18 Kníže Ignor | skóre: 19 | blog: stoupa
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    startx mi spustí xinit a ten /etc/X11/X 
    -rwxr-xr-x  1 root root ... /usr/X11R6/bin/xinit*
lrwxrwxrwx  1 root root ... /etc/X11/X -> ../../usr/X11R6/bin/Xorg*
-rwxr-xr-x  1 root root ... /usr/X11R6/bin/Xorg*
    Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
    4.5.2006 01:38 mimo4
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    a mne :-)

    -rwxr-xr-x 1 ruut ruut ... /usr/X11R6/bin/xinit*

    lrwxrwxrwx 1 ruut ruut ... /etc/X11/X -> ../../usr/X11R6/bin/Xorg*

    -rwxr-xr-x 1 ruut ruut ... /usr/X11R6/bin/Xorg*
    4.5.2006 07:19 Kyosuke | skóre: 28 | blog: nalady_v_modre
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Možná jsem blbej neprogramátor, ale je nějaký extra dobrý důvod pro to, aby tam dotyčná pasáž byla dvakrát a potenciálně i víckrát a nebylo tam jen něco jako 
    if (getuid() == 0 || geteuid() != 0) dangerous_privileged_mode=TRUE;
    a pak jednak používat if(dangerous_privileged_mode) a taky to používat co nejmíň? Už jen fakt, že se takovýhle test dělá dvakrát (a možná i víckrát) ve mně nevzbuzuje moc důvěru, trošku mi to připomíná tu esej „How To Write Unmaintainable Code (Ensure a job for life ;-))“. (No dobře, podle té eseje by to bylo spíš: Nejlépe testovat jednu a tutéž podmínku na více místech a třeba ještě ji pokaždé zapsat jinak, ale aby dávala stejný výsledek...a maintenancer ať si třeba dupe vzteky... :-D)
    Jak moc jsou ábíčkáři inteligentní? ;-)
    4.5.2006 07:40 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Kdo z nás píše jenom čisté a elegantní kódy ;-)? Je fakt, že když má člověk něco zveřejnit, tak se většinou snaží ten kód uhladit (to je výhoda OSS), ale ne vždycky se to povede.
    When your hammer is C++, everything begins to look like a thumb.
    4.5.2006 08:29 Kyosuke | skóre: 28 | blog: nalady_v_modre
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Nojo, člověk se občas nestačí divit... :-D
    Jak moc jsou ábíčkáři inteligentní? ;-)
    4.5.2006 08:54 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Proč je ta chyba "nejzávažnější" za posledních šest let? Co třeba CVE-2004-0084 a další, které šlo zneužít i když X server neměl setuid bit?
    4.5.2006 09:01 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
    Rozbalit Rozbalit vše Re: Závažná bezpečnostní chyba v X
    Nejzávažnější je proto, že si společnost Coverity může do reklamních materiálů napsat - náš nástroj odhalil nejhorší bezpečnostní chybu v OpenSource produktu Xorg za posledních 6 let. A to už přeci zní, ne? ;-)
    When your hammer is C++, everything begins to look like a thumb.

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.