1.2, EuPhobos (ok), 11:21, 15/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +20 +/– |
> В ядре Linux выявлена уязвимость, позволяющая локальному злоумышленнику повысить свои привилегии в системе через передачу некорректных параметров через системный вызов perf_event_open(). Проблема проявляется только на платформе ARM;
Наконец-то опять я на своём проприетарно-закрытом планшете смогу получить root-доступ не ломая загрузчик и не теряя гарантии..
PS надо же, не мог подумать, что буду позитивно настроен на баг в ядре, из-за какой-то проприетарщины.. Тьфу.. Долбаная проприетаристия, зомбирует меня..
| |
|
2.4, Аноним (-), 12:05, 15/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
И много имеется планшетов с ядром от 3.8 и выше? Да нисколько. Тот кто обнаружил сделал эксплойт для 3.11, а на 3.7 уже не работает, по его же словам
| |
|
3.5, Аноним (-), 12:11, 15/08/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
> И много имеется планшетов с ядром от 3.8 и выше? Да нисколько.
> Тот кто обнаружил сделал эксплойт для 3.11, а на 3.7 уже
> не работает, по его же словам
Но патч аж на 3.0 имеется. Ай да линус, ай да сукин сын - описание патча безобиднейшее, ни слова про уязвимость
| |
|
4.9, Andrey Mitrofanov (?), 13:13, 15/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
>Ай да линус, ай да сукин сын - описание патча безобиднейшее, ни слова про уязвимость
Внимание, знатоки!! Вам отвечает Theodore Tso.
[CODE]Hi, so I'm guessing you're new to the Linux kernel. What you are
missing is while *Linus* is unwilling to play the disclosure game,
there are kernel developers (many of whom work for distributions, and
who *do* want some extra time to prepare a package for release to
their customers) who do. So what Linus has expressed is his personal
opinion, and he is simply is not on any of the various mailing lists
that receive limited-disclosure i[/CODE]
http://lwn.net/Articles/290241/
| |
|
5.13, Аноним (-), 14:19, 15/08/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да мы в курсе что Грег Кро-Хартман в каждом обновлении подчеркивает обязательность обновления. Но хотя бы в тексте описания патча примерно видно что к чему. А в данном случае описание совершенно безобиднейшее, я даже не уверен что это и есть искомый патч, может просто совпадение в том что патчится именно этот кусочек ярда.
| |
|
6.14, Аноним (-), 14:37, 15/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Да мы в курсе что Грег Кро-Хартман в каждом обновлении подчеркивает
> обязательность обновления
А тут все просто: если вы хотите быть святее папы римского - будьте. Под СВОЮ ответственность.
| |
6.32, Andrey Mitrofanov (?), 10:47, 18/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Да мы в курсе что Грег Кро-Хартман в каждом обновлении подчеркивает
Во-первых, там Фёдор Тцо.
Во-вторых, там выше _совсем_ не про то.
В-третьих, не Грег "подчеркивает", а у него в шаблоне для скрипта это написано (ссылку на шаблон -- дать?).
| |
|
5.33, Andrey Mitrofanov (?), 10:57, 18/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>Ай да линус, ай да сукин сын - описание патча безобиднейшее, ни слова про уязвимость
Попытка №2: google://security kernel "commit message" torvalds site:lwn.net
FIXME: Для понимания чтение аглицк_их_ тескт_ов_ по-прежнему requiered. ///Желающие это пофиксить, перевести всё по всем ссылкам с поиска или поделиться "русской" ссылкой по теме (хабр?!), приглашаются!
> Внимание, знатоки!! Вам отвечает Theodore Tso.
[CODE]> Hi, so I'm guessing you're new to the Linux kernel. What [/CODE]
| |
|
|
|
|
1.3, ua9oas (ok), 11:50, 15/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
сейчас на kernel.org я увидел обновления за 15 число в трех ветках ядра. Это и есть то, что связано с этой новостью? (и если да, то тогда какие изменения там были еще?)
| |
|
2.10, Andrey Mitrofanov (?), 13:16, 15/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> сейчас на kernel.org я увидел
Полено пришёл.
Нет, это не "и есть то". Да, связано, может быть. Жди анонса релизов от Грега КХ.
| |
|
1.7, Адекват (ok), 13:09, 15/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
>во время обработки команды LIST
то есть сначала нужно залогиниться, да ?
| |
|
2.8, тень_pavel_simple (?), 13:10, 15/08/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>во время обработки команды LIST
> то есть сначала нужно залогиниться, да ?
а как ещё? этож Dovecot!
| |
|
3.11, Аноним (11), 13:50, 15/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
Более того, вообще неясно с чего вдруг завершение pop3-процесса по assert() названо уязвимостью. Это баг, просто баг.
| |
|
4.25, eoranged (ok), 21:01, 16/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
В Dovecot любое поведение не запланированное разработчиком программы является критической уязвимостью и устраняется в срочном порядке.
| |
|
|
|
1.12, anonimux (?), 14:10, 15/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Когда уже в этом вашем Linux баг с SD починят?
А с 3.10.5 ARP таблица не обновляется.
Опять всё самому делать?
| |
|
2.15, Аноним (-), 14:41, 15/08/2013 [^] [^^] [^^^] [ответить]
| –7 +/– |
> Когда уже в этом вашем Linux баг с SD починят?
А что за "баг с SD"? А что я как дypак пользую аж 3.11RC4. Да, с SD картами. Вроде работает. Wtf, собственно?
> А с 3.10.5 ARP таблица не обновляется.
Это как?
> Опять всё самому делать?
Как интересно, что вы там делаете чтобы все это повылезло? Надеюсь что вы не гентушник, собирающий все своими руками, да еще с какими-нибудь дикими флагами оптимизации компилятору.
| |
|
|
4.20, Аноним (-), 16:31, 15/08/2013 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Минусую за наезд на гентушников
Привет, гентурас :))))) И тебе минус :)))))
| |
4.21, Аноним (-), 16:59, 15/08/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Минусую за наезд на гентушников
Просто по моему опыту они любят завинчивать дикие ключи компиляции типа -O9 и потом искренне удивляются целому букету странных багов. Вылезающих у одного человека на всю планету. Детальный разбор полетов обычно показывает что компилер с аццким сочетанием флагов сгенерил некорректный код. Потому что экспериментальные оптимизации облажались. А вот мозг ни в чем не виноватым програмерам софтины - имели и достаточно долго. Вполне валидное основание недолюбливать тех кто так делает.
| |
|
5.23, Аноним (-), 20:13, 15/08/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Минусую за наезд на гентушников
> Просто по моему опыту они любят завинчивать дикие ключи компиляции типа -O9
> и потом искренне удивляются целому букету странных багов. Вылезающих у одного
> человека на всю планету. Детальный разбор полетов обычно показывает что компилер
> с аццким сочетанием флагов сгенерил некорректный код. Потому что экспериментальные оптимизации
> облажались. А вот мозг ни в чем не виноватым програмерам софтины
> - имели и достаточно долго. Вполне валидное основание недолюбливать тех кто
> так делает.
А, прости, на кой ляд такие дикие оптимизации вообще в принципе вперлись? В надежде, что компилятор выправит руки кодописцу? Ну так надёжи вьюношей питают. Я б такой д_е_б_илизм включал в продакшен-версии исключительно через два ключа, ну, примерно, как баллистические ракеты запускают ну или админские пароли в Trusted-версиях треба вводить.
| |
5.26, Ordu (ok), 00:45, 17/08/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Просто по моему опыту они любят завинчивать дикие ключи компиляции типа -O9 и потом
> искренне удивляются целому букету странных багов.
Да, мы такие. ;)
Кстати искреннее удивление, со временем отпускает. Как и со всеми граблями: достаточно пару раз наступить на них, как вырабатывается иммунитет.
Но я не думаю, что среди нас распространены те, кто выкручивает -O9 для компиляции ядра. Соцопросов, правда, я не проводил, но бессмысленность этого, помноженная на тяжесть вероятных последствий, по-идее, должна отвратить даже гентушника. Я легко могу поверить, что юзерспейс запорот безумной комбинацией CFLAGS, но в ядре -- вряд ли.
| |
|
6.34, linux must _RIP_ (?), 14:14, 20/08/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Я легко могу поверить, что юзерспейс запорот безумной комбинацией CFLAGS, но в ядре -- вряд ли.
Советую погуглить как смена версии binutils приводила к невозможности компиляции ядер.
Забавный баг в свое время был..
| |
|
|
|
|
2.19, Crazy Alex (ok), 15:48, 15/08/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ечли хотите, чтобы здесь к вашим жалобам отнеслись с соучвствием - прилагайте к ним соответствующие ссылки на багтрекер.
| |
|
1.22, Аноним (-), 18:08, 15/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> В открытом облачном хранилище ownCloud 5.0.8 устранена уязвимость
Это когда было-то? Уже 5.0.10 вышел...
| |
1.24, pavlinux (ok), 00:28, 16/08/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> через системный вызов perf_event_open().
А чё самое интересное, эти мудики сделали Performance Counters не отключаемые ваще.
| |
|