The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в XMir

22.08.2013 23:00

В развиваемой компанией Canonical прослойке XMir, обеспечивающей трансляцию ввода и вывода между Mir и X-сервером, выявлена уязвимость. Проблема связана с отсутствием отключения обработки событий ввода при переключения на виртуальный терминал. XMir не обрабатывает ситуацию выхода из текущего графического сеанса, что приводит к продолжению обработки ввода даже после начала работы в виртуальной текстовой консоли. Например, если в графическом сеансе был запущен текстовый редактор и фокус ввода был активен на нём, то после переключения на виртуальный терминал по Ctrl+Alt+F1, весь ввод в консоли, в том числе ввод логина и пароля, дублируется в окне текстового редактора.

  1. Главная ссылка к новости (http://mjg59.dreamwidth.org/27...)
  2. OpenNews: Для Mir подготовлена прослойка для обеспечения совместимости с X11, позволившая запустить Xfce, LXDE и GNOME
  3. OpenNews: Обновление X.Org Server 1.13.4 и 1.14.1 с устранением уязвимости
  4. OpenNews: В клиентских библиотеках X.Org и Mesa выявлено 30 уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/37717-xmir
Ключевые слова: xmir
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (42) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:05, 22/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    Лютый баг! Зачёт!
     
     
  • 2.8, Аноним (-), 23:36, 22/08/2013 [^] [^^] [^^^] [ответить]  
  • +10 +/
    У иксов и не такие были. (кстати, конкретно этот баг тоже был когда-то)
     
     
  • 3.21, nogood3 (??), 01:21, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Действительно был!!! Но это же детские болезни, уже если пишут сервер в 2013 году , могли бы и обратить внимание на ошибки прошлых лет.
     
     
  • 4.25, rshadow (ok), 03:17, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучше бы знать они тестами свой код покрывают, или опять все на коленке написано будет и десятилетиями исправляться...
     
     
  • 5.27, Аноним (-), 03:28, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ты будешь смеятся, но они используют TDD - то есть сначала пишут тесты, и только потом пишут код. Баги, похоже, добавляют потом - или они такие профессионалы
     
     
  • 6.31, rshadow (ok), 03:56, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > но они используют TDD

    ну чтож это круто. посморим что получится: canonical(Mir) vs x12(Wayland)

     
     
  • 7.63, Stellarwind (?), 12:43, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> но они используют TDD
    > ну чтож это круто. посморим что получится: canonical(Mir) vs x12(Wayland)

    Wayland это не X12: http://www.x.org/wiki/Development/X12/


     
     
  • 8.64, arisu (ok), 12:48, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    бессмысленно пояснять ... текст свёрнут, показать
     
  • 5.51, Аноним (-), 10:22, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Лучше бы знать они тестами свой код покрывают, или опять все на
    > коленке написано будет и десятилетиями исправляться...

    Тесты это прекрасно, но не стоит их переоценивать. Вон у майкрософта ну все тестами обложено. Что не мешает пролезать совершенно феерическим багам типа "при записи крешдампа на том более 2Тб, файловая система будет разъ@$на в хламину и восстановлению не подлежит".

    И как вы понимаете, нашли эти баги отнюдь не тесты. А хомяки у которых по мере популяризации >2Tb дисков в массах - стали сыпаться фаловый системы и злые хомяки стали покусывать за задницы саппортов, которые призадумались что "это жжж неспроста".

     
     
  • 6.54, arisu (ok), 10:34, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    тесты — это такое современное суеверие. дескать, если много-много тестов написать, то всё будет очень хорошо.

    очень интересно говорить таким суеверным, что огромное количество тестов делается вообще «пост-фактум», после обнаружения ошибки. часть начинает задумываться, а часть — орать, что «там все дураки, не умеют сразу тесты писать!»

    что характерно, вторая часть обычно сама или не пишет ничего вообще, или «приветмиры», или их копрокод имеет два с половиной теста, которые всё равно не запускают, потому что «они давно не работают, а обновлять нет времени».

     
     
     
    Часть нити удалена модератором

  • 8.68, mf (ok), 15:17, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Тесты - как коментарий к коду Неактуальный тест хуже его отсутствия Тесты треб... текст свёрнут, показать
     
     
  • 9.69, arisu (ok), 15:25, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    не то чтобы совсем уж бесполезна но да, если с ними переусердствовать, то проек... текст свёрнут, показать
     
  • 7.56, Михрютка (ok), 12:18, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > очень интересно говорить таким суеверным, что огромное количество тестов делается вообще
    > «пост-фактум», после обнаружения ошибки. часть начинает задумываться, а часть
    > — орать, что «там все дураки, не умеют сразу тесты писать!»

    99% таких суеверных ни одного теста собст руками не написали, знакомы с вопросом понаслышке идиоты дэс. зачем ты с такими разговариваешь?

     
     
  • 8.62, arisu (ok), 12:30, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    забавы для сидишь когда, куришь, думаешь 8212 часть мозга можно выделить и п... текст свёрнут, показать
     
  • 4.75, Michael Shigorin (ok), 21:56, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > могли бы и обратить внимание на ошибки прошлых лет.

    В каноникале?!

     
  • 2.13, Толстеннный троллль (?), 00:03, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё правильно, но консоль всё же удобный инструмент, так что пусть люди сами выбирают чем пользоваться. Даже если это "чисто гиковское", то я за равноправие :)
     
  • 2.33, Аноним (-), 05:07, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Товарищ, успокойтесь. Никому не нужна вторая MacOSX, но бесплатная. И первая-то совсем недорого стоит, кому нужно, тот уже купил.
     
     
  • 3.36, Аноним (-), 06:23, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    MacOS, действительно, стоит денег, но отдельно от компьютера не продается. Такой вот парадокс. А посему говорить о ее цене - нонсенс.
     

  • 1.4, Аноним (-), 23:15, 22/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Молодцы! Постим новости от 20 июня. Мешочек конфет вам в подарок.
     
     
  • 2.5, Аноним (-), 23:15, 22/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    https://bugs.launchpad.net/xmir/+bug/1192843
     

  • 1.12, Михрютка (ok), 23:55, 22/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Breaking news!!! в альфа версии софтины обнаружена бага!!!
     
     
  • 2.14, Аноним (-), 00:03, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Эта "альфа версия" будет в следующем релизе убанты. Ее ЛИЧНО космнавт одобрил!
     

  • 1.16, Аноним (-), 00:13, 23/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то утихли новости про вяленд и мир. А так хорошо все начиналось
     
  • 1.20, Magister (?), 00:33, 23/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Прикольно, в первом вышедшем смарте на Android (HTC Dream) на первой прошивке похожим способом рута получали :)
     
  • 1.24, Пиу (ok), 02:44, 23/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у него хоть одна версия уже вышла?
     
     
  • 2.39, Аноним (-), 06:27, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > у него хоть одна версия уже вышла?

    А у него не будет версий. Будут сезоны и серии. В свете принятого закона. Типа 3-я серия 2-го сезона. Хотя статус "снимается" после первого сезона могут и отменить.

     

  • 1.44, Фдуч (??), 08:53, 23/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Этот тикет висит ещё с 20 июня. Но некоторые открыли его для себя только сейчас.
    https://bugs.launchpad.net/xmir/+bug/1192843
     
     
  • 2.47, Прохожий (??), 09:14, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А это всё потому, что пользователи Ubuntu в консоли почти не работают. Видимо, даже и разработчики, вот и отловили баг так поздно.
     
     
  • 3.70, Crazy Alex (ok), 16:25, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А кто сейчас в нормальных условиях (то есть когда не поломано всё и вся) работаетв натуральной текстовой консоли, а не в графическом псевдотерминале? Мазохисты?
     

  • 1.46, Прохожий (??), 09:14, 23/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А это всё потому, что пользователи Ubuntu в консоли почти не работают. Видимо, даже и разработчики, вот и отловили баг так поздно.
     
     
  • 2.50, Аноним (-), 10:06, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И компилируют они не "make", а ЗЕЛЕНОЙ КНОПОЧКОЙ PLAY.
     
     
  • 3.52, Аноним (-), 10:25, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И компилируют они не "make", а ЗЕЛЕНОЙ КНОПОЧКОЙ PLAY.

    Да не, скорее просто никто не хотел пользоваться обкоцаной консолью при наличии симпатичных графических терминалов. А приколитесь, на ряде девайсов вообще нет такого понятия как консольный режим.

     
     
  • 4.53, arisu (ok), 10:29, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А приколитесь, на ряде девайсов вообще нет такого
    > понятия как консольный режим.

    поэтому если ядро вошло в ступор — остаётся сделать кофе покрепче, выпить и гадать на оставшейся гуще, почему красивый аппарат превратился в унылый кирпич.

     
     
  • 5.57, Михрютка (ok), 12:20, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> А приколитесь, на ряде девайсов вообще нет такого
    >> понятия как консольный режим.
    > поэтому если ядро вошло в ступор — остаётся сделать кофе покрепче, выпить
    > и гадать на оставшейся гуще, почему красивый аппарат превратился в унылый
    > кирпич.

    for everyone else there's always a JTAG porn

     
     
  • 6.60, arisu (ok), 12:27, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > for everyone else there's always a JTAG porn

    это если его соизволили дать. у меня вот друг есть, так он, бедняга, был вынужден писать софт для девайса, где жопорукие разработчики решили, что жтаг — бесполезная перделка. да-да, даже в «девелоперском» варианте (который нифига не отличается от «нормального»).

    понятно, что это дивайс типа «сам пан склепав», просто вспомнилось, с какой нежной любовью он рассказывал, что хотел бы сделать с этими разработчиками.

     
     
  • 7.65, Михрютка (ok), 12:53, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> for everyone else there's always a JTAG porn
    > это если его соизволили дать. у меня вот друг есть, так он,
    > бедняга, был вынужден писать софт для девайса, где жопорукие разработчики решили,
    > что жтаг — бесполезная перделка. да-да, даже в «девелоперском» варианте
    > (который нифига не отличается от «нормального»).

    эээ что, даже на разводке не предусмотрен? это... оригинально
    а как эти извращенцы предлагали девам софт на плату заливать?

     
     
  • 8.66, arisu (ok), 12:59, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    нежно ц я сейчас уже всех подробностей не упомню, разве что парочку новых руг... текст свёрнут, показать
     
  • 3.59, Прохожий (??), 12:24, 23/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А что для компиляции нужно обязательно переключиться на виртуальные терминалы (CTRL+F*)? Или вы не умеете запускать компиляцию в эмуляторе терминала в вашем DE ? Кстати эмулятор терминала в DE (графической оболочке) не тормозит вывод.
     

  • 1.48, Аноним (48), 09:47, 23/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    смешно
     
  • 1.49, Аноним (-), 09:53, 23/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну всё, теперь оно точно готово для декстопа!
     
  • 1.58, Необъективный_ (ok), 12:23, 23/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Например, если в графическом сеансе был запущен текстовый редактор и фокус ввода был активен на нём, то после переключения на виртуальный терминал по Ctrl+Alt+F1, весь ввод в консоли, в том числе ввод логина и пароля, дублируется в окне текстового редактора.

    Это плохой пример. Гораздо интереснее, когда у пользователя остается открытым окно диалога в каком-нибудь IM клиенте, в котором отправка сообщений настроена по Enter...

     
  • 1.67, UNIm95 (ok), 13:47, 23/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    xxx: su root -
    xxx: dsfew[rgdvfdasdfr
    yyy: Привет.
    xxx: Ты меня своим привет поседеть заставил.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру