Спонсор проекта:
Лучший вариант для анонимности купить прокси на выделенном сервере IPANN.NET.
Ads



Последние комментарии
#1
Linups_Troolvalds пишет: » Хватит писать бред. МСВС (возможно) не работает на... (24.07.2017)
// Обзор и попытка установки МСВС 5.0
#2
watersoda пишет: » Да и RHEL под "Эльбрус" не помешал бы... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#3
watersoda пишет: » Небольшая поправка: ... через соответствующий паке... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#4
watersoda пишет: » Кстати, мелькала где-то информация, что Red Hat сд... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#5
watersoda пишет: »
Цитата:
... МСВС отстаёт от ДОСа по поддержке виде...
(16.03.2017)
// Обзор и попытка установки МСВС 5.0
#6
admin пишет: » watersoda, этот ноутбук выпущен в 2012 году wink
Убунт... (16.03.2017)
// Обзор и попытка установки МСВС 5.0
#7
watersoda пишет: » И вот ещё, правда речь про МСВС 3.0:
Цитата:
Устрои...
(08.03.2017)
// Обзор и попытка установки МСВС 5.0
#8
watersoda пишет: » Я где-то читал, что ВНИИНС предоставляет список об... (08.03.2017)
// Обзор и попытка установки МСВС 5.0
#9
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#10
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#11
Gentoo пишет: » >>Autocad, Kompas, CorelDraw, SolidWorks, AD... (30.01.2017)
// Письма неадекватов
#12
watersoda пишет: » Just for fun как он есть.biggrin (15.01.2017)
// Линукса нет! Нас обманули !!!
#13
дохтур пишет: » admin, ага, ещё вот проприетарная лицензия на обще... (13.01.2017)
// Письма неадекватов
#14
admin пишет: » дохтур, а ранили его "тупые виндузяги" с... (13.01.2017)
// Письма неадекватов
#15
дохтур пишет: » Это была какая-то очень ранимая заблудшая душа (13.01.2017)
// Письма неадекватов
Quotes

Идиотские баги повсюду! | автор: Luca | 16 февраля 2010 |

Категория: GNU/Linux


В хранителе экрана GNOME, входящем в комплект последних версий openSUSE, обнаружена уязвимость, позволяющая выйти из режима блокировки экрана без ввода корректного пароля. Тесты подтвердили, что попасть в заблокированное рабочее окружение GNOME можно просто нажав и удерживая в течение нескольких секунд клавишу Enter, что приводит к краху хранителя экрана (gnome-screensaver-2.28.0-2.3) и снятию обеспечиваемой им защиты.


В декабре подобная проблема не раз сообщалась пользователями Ubuntu и Fedora, после чего была без особой огласки устранена в данных дистрибутивах. Уязвимость связана с ошибкой в реализации функции dk_window_begin_implicit_paint() из состава GTK+, которая иногда приводит к попыткам отрисовки в несуществующем окне, что приводит к краху.

Пользователям openSUSE рекомендуется вручную установить обновленную версию пакета gnome-screensaver-2.28.0-2.4.1 (i586, x86_64), пока доступную только в тестовом репозитории openSUSE.

Дополнение: Версия gnome-screensaver-2.28.0-2.4.1 уже доступна через стандартный механизм обновлений, но по утверждению представителей SUSE Security Team не устраняет вышеописанную проблему, которую удается повторить не на всех системах. Исправление присутствует в git-репозитории проекта GNOME и доступно только для выпуска GNOME 2.28.1, пакет с которым пока не доступен для openSUSE.

C устранением дырки как всегда туго. Три месяца назад дырку нашли, исправление есть, но только в тестовом репозитарии. Вернее не совсем в репозитарии, а в исходниках, которые еще компилировать надо. Занавес.

источник



Комментарии посетителей
[1] 2 3 4 5 6 7 8

Безопасная Linux такая безопасная.

#2. MOP3E

Нет-нет-нет, это же не ошибка в ядре! Это ошибка в прикладном программном обеспечении! GTK+ никогда не был линуксом! На самом деле линукс АБОСЛЮТНО безопасен!

#3. goujat

Перепечатаю у себя. Потрясающе.
Цитата:
Вернее не совсем в репозитарии, а в исходниках, которые еще компилировать надо.

Из источника:
Цитата:
address of the test update repository is http://download.opensuse.org/update/11.2-test/. The new package can also be downloaded manually (for i586 and x86_64 – direct downloads.


Пакет уже собран но Лука нам пытается доказать обратное.

#5. Luca

artcats115, ты новость до конца дочитай. Там все четко написано "пакет с которым пока не доступен для openSUSE"
"баги повсюдА" - это немного перебор (особенно в контексте новости) ;)
Цитата:
Дополнение: Версия gnome-screensaver-2.28.0-2.4.1 уже доступна через стандартный механизм обновлений, но по утверждению представителей SUSE Security Team не устраняет вышеописанную проблему, которую удается повторить не на всех системах.


Т.е насколько я понимаю фикс уже есть он просто не везде работает.

#8. MOP3E

artcats115 написал:
Т.е насколько я понимаю фикс уже есть он просто не везде работает.

Фикс есть не для всех дистрибутивов, и не везде работает... А был ли фикс?

#9. MOP3E

На самом деле довольно актуальная проблема. Понимаете ли, так называемые быдлопользователи привыкли защищать данные на компьютере экранной заставкой. И ожидают, что при включенной заставке никто не сможет получить доступ к их компьютерам. Ну, хотя бы если не применит закон лома для замкнутой цепи. В виндах, собственно, так и происходит. Я, конечно, понимаю, что экранная заставка - это не путь настоящего линух-гуру, который не работает в GUI...

С другой стороны, тут явно что-то не то. Скринсейвер не должен занимаеться аутентификацией. И уж тем более не должен отвечать за безопасность системы. Он просто должен прекращать работу при обнаружении активности пользователя. После чего на сцену должен выйти системный механизм аутентификации. Странно, что в линуксе это не так. Особенно при всей любви линуксоидов к бритвам Оккама.

#10. wr224

artcats115 написал:

Т.е насколько я понимаю фикс уже есть он просто не везде работает.

Фиксы для линуха чем-то походят на Неуловимых Джо. biggrin

#11. onkyo

Luca, ты уже разобрался с кнопкой "Все комменты"? =D Сделаю репост, ибо Лопата просто герой:
"Вот комменты к любой новости почитаешь, так все яибу ИТ-специалисты, аж шуба заворачиваеццо. ИЧСХ, что с той, что с этой стороны. Без Педивикии половина слов непонятна, что со всех сторон раздаюццо. А как комменты полечить, штоб аццки не скролить по пять раз, так нет никого. Всё мне с вами понятно, уважаемые.
От кого ещё раз услышу про хомячков, леммингов и планктон, тот сразу пойдёт нах.й, не взирая на заслуги перед родиной. ИТ-илита, бл.ть, криворукая" =D

И кто бы тут вонь разводил про кривые руки и безопасность... =D

Luca, а ты входишь в этот 1%? =D

#12. wr224

MOP3E написал:

С другой стороны, тут явно что-то не то. Скринсейвер не должен занимаеться аутентификацией. И уж тем более не должен отвечать за безопасность системы. Он просто должен прекращать работу при обнаружении активности пользователя. После чего на сцену должен выйти системный механизм аутентификации. Странно, что в линуксе это не так. Особенно при всей любви линуксоидов к бритвам Оккама.

Я думаю, там аутентификация реализована через pam-модуль, с этим все нормально. Ошибка там с кривой реализацией приводящей к крашу скринсервера. Нет скринсервера, не защиты.

#13. Luca

onkyo, в какой 1%? Я про Linux уже успел забыть как про страшный сон.
К слову сказать я на лавры разработчика никогда не претендовал и тем более не заявлял "мой дистрибутив идеально подходит для домашнего пользователя", хотя по молодости маялся подобной дурью.
Про кнопку "все комменты" лучше поговорить в отдельной ветке.

#14. Linfan

Linfan
MOP3E написал:
На самом деле довольно актуальная проблема. Понимаете ли, так называемые быдлопользователи привыкли защищать данные на компьютере экранной заставкой. И ожидают, что при включенной заставке никто не сможет получить доступ к их компьютерам. Ну, хотя бы если не применит закон лома для замкнутой цепи. В виндах, собственно, так и происходит. Я, конечно, понимаю, что экранная заставка - это не путь настоящего линух-гуру, который не работает в GUI...

С другой стороны, тут явно что-то не то. Скринсейвер не должен занимаеться аутентификацией. И уж тем более не должен отвечать за безопасность системы. Он просто должен прекращать работу при обнаружении активности пользователя. После чего на сцену должен выйти системный механизм аутентификации. Странно, что в линуксе это не так. Особенно при всей любви линуксоидов к бритвам Оккама.


хм... на 100% не помню, но похожий косяк c аутентификацией был в WS2003 (апдейты уже давно закрыли дыру). Ну а пароли в винде, которые хранились в кеше открытым текстом - эта ваще образец секюрности. Вспомним хотя бы liv-cd на базе линукса для "восстановления" паролей в винде, а точнее - для хака паролей. Идеальных систем не бывает и нечего кирпичами тут гадить. Проблема уже решена и апдейты уже есть. Вот если бы апдейта нужно было ждать месяц до какого-то там вторника - это было бы хуже.

#15. wr224

Linfan написал:

Вот если бы апдейта нужно было ждать месяц до какого-то там вторника - это было бы хуже.

Вопрос только в том, как его установить этот апдейт обычному пользователю. Из svn ов выкачивать, а потом компилировать далеко не каждый умеет, да встать еще может "не так". От того что сферический апдейт в вакууме существует в природе пользователю конкретной системы ни холодно ни жарко.

#16. MOP3E

Linfan написал:
Проблема уже решена и апдейты уже есть. Вот если бы апдейта нужно было ждать месяц до какого-то там вторника - это было бы хуже.

Фактически апдейтов всё ещё нет для большинства дистрибутивов. И неизвестно, когда появятся. Ждать неизвестно сколько это, конечно же, лучше, чем ждать ровно месяц до гарантированного выхода патча.

#17. pavel2403

pavel2403
Linfan написал:
хм... на 100% не помню, но похожий косяк c аутентификацией был в WS2003 (апдейты уже давно закрыли дыру).
Извини, но это наглая выдумка или пруф или не было!
Linfan написал:
Ну а пароли в винде, которые хранились в кеше открытым текстом - эта ваще образец секюрности.
еще одна наглая беспардонная ложь и передергивание. В какой винде.1.0? Так тогда линукса еще и в помине небыло. а начиная с 95- ложь и провокация, опять таки или пруф или не было!!!
Linfan написал:
Вспомним хотя бы liv-cd на базе линукса для "восстановления" паролей в винде, а точнее - для хака паролей.
Да, он не только был но и есть, только он не расшифровывает пароли, а тупо затирает в SAM поле c хэшем пароля.biggrin Учим матчасть!!!
Linfan написал:
Идеальных систем не бывает и нечего кирпичами тут гадить. Проблема уже решена и апдейты уже есть. Вот если бы апдейта нужно было ждать месяц до какого-то там вторника - это было бы хуже.
Да куда там вам до вторника!!! Когда так говоришь, то уточняй, до вторника какого года!biggrin biggrin biggrin http://ruslan-karmanov.spaces.live.com/blog/cns!7A618DDE20D3A481!12879.entry
wr224
Если компьютер домашний, то особо беспокоиться как бы и не о чем. А если - на работе, то глядишь и одмин найдется, который поставит. Имхо конечно (Линухом не пользуюсь ни там ни там).

#19. pavel2403

pavel2403
Linfan написал:
Вспомним хотя бы liv-cd на базе линукса для "восстановления" паролей в винде, а точнее - для хака паролей.
Смотри сюдаhttp://pogostick.net/~pnh/ntpasswd/
Это можно сделать на базе любого LiveCD не обязательно с линухом, есть и под виндой, поищи сам, если интересно.

#20. MOP3E

Linfan написал:
Вспомним хотя бы liv-cd на базе линукса для "восстановления" паролей в винде, а точнее - для хака паролей.

Ну, не восстанавливает он пароли. Вообще никак. Обнуляет, а не восстанавливает. Я сильно подозреваю, что точно так же можно сделать и в линухе, был бы административный доступ к жёсткому диску.

#21. wr224

Про восстановление Linfan ты конечно отжог. Ни одна система "не знает" пароль пользователя, она знает его хэш и сверяет хэш введенного пароля с хэшем в ее базе(аутентификация). Позор линуходу. smile

#22. MOP3E

wr224 написал:
Про восстановление Linfan ты конечно отжог. Ни одна система "не знает" пароль пользователя, она знает его хэш и сверяет хэш введенного пароля с хэшем в ее базе(аутентификация). Позор линуходу. smile

Насколько я помню, одной из популярных целей при взломе UNIX-совмесимой машины является как раз текстовый файл с логинами и паролями пользователей... которые там зашифрованы каким-то не особо стойким алгоритмом. Возможно, хитрый китаец Линь Фань думает, что в Windows тоже так сделано? biggrin

#23. wr224

MOP3E написал:

Насколько я помню, одной из популярных целей при взломе UNIX-совмесимой машины является как раз текстовый файл с логинами и паролями пользователей... которые там зашифрованы каким-то не особо стойким алгоритмом. Возможно, хитрый китаец Линь Фань думает, что в Windows тоже так сделано?

Цитата:

Большинство Unix (и Linux не исключение) в основном используют односторонний алгоритм шифрования, называемый DES (стандарт шифрования данных /Data Encription Standard/), для шифрования ваших паролей. Эти зашифрованные пароли затем сохраняются (обычно) в файле /etc/passwd или (реже) в /etc/shadow. Когда вы пытаетесь зарегистрироваться, все, что вы набираете, снова шифруется и сравнивается с содержимым файла, в котором хранятся ваши пароли. Если они совпадают, должно быть это одинаковые пароли, и вам разрешают доступ. Хотя DES является двухсторонним (вы можете закодировать, а затем раскодировать сообщение, давая верный ключ), большинство Unix используют односторонний вариант. Это значит, что невозможно на основании содержания файла /etc/passwd (или /etc/shadow) провести расшифровку для получения паролей.

пруф
А вот в виндовс используется более современный AES. Но все-равно естественно линух лучше защищен, кто спорит. biggrin

#24. Linfan

Linfan
wr224 написал:
Вопрос только в том, как его установить этот апдейт обычному пользователю. Из svn ов выкачивать, а потом компилировать далеко не каждый умеет, да встать еще может "не так". От того что сферический апдейт в вакууме существует в природе пользователю конкретной системы ни холодно ни жарко.


Кончай стоеросовым чайнигом прикидываться - апдейт ставится ровно также как в виднде - в системном трее появляется индикатор "Установить апдейт".

"скомпилировать" "свн"... Ты как махровый слакварщик рассуждаешь ))))))))))))
MOP3E написал:
Я сильно подозреваю, что точно так же можно сделать и в линухе, был бы административный доступ к жёсткому диску.

Запросто, грузимся с LIVE CD/USB, через chroot монтируем корневой раздел установленной системы, passwd и всё.
Правда не всегда это и получится. Что касается винды врать не буду, поскольку проблемы её безопасности мне абсолютно до лампочки и я не слежу за багами, которые там находят, однако в какой то из ранних версий, как мне помнится, применялся какой то хитрый метод криптования, позволявший все пароли вытащить за 10-15 минут.
ЗЫ: Таки вопрос остаётся открытым, на сетевом адаптере смотрящем во внешнюю сетку выставлен адрес 192.168.0.2, default gateway для этой сетки 192.168.0.1, можно ли при этом прокинуть интернет во внутренюю сетку используя ICS?
Ответить прошу без всяких лишних советов выпрямить руки, поскольку у меня всё работает. И если да, то кратенько объяснить как.

#26. Linfan

Linfan
wr224 написал:
Про восстановление Linfan ты конечно отжог. Ни одна система "не знает" пароль пользователя, она знает его хэш и сверяет хэш введенного пароля с хэшем в ее базе(аутентификация). Позор линуходу.


Читай, просвящайся: http://ophcrack.sourceforge.net/

ппц, планктонарий, тебе не надоело, что тебя регулярно макают мордой в незнание собственной платформы?

А для остальных участников - оч правильно подметил БШЛ:

Цитата:
все яибу ИТ-специалисты, аж шуба заворачиваеццо. ИЧСХ, что с той, что с этой стороны. Без Педивикии половина слов непонятна, что со всех сторон раздаюццо. А как комменты полечить, штоб аццки не скролить по пять раз, так нет никого. Всё мне с вами понятно, уважаемые.


Вот и получается, что пальцы гнуть тут все мастера, а как пофиксить реальную проблему, которая всем мешает, так все на "луноходов" сразу смотрят biggrin biggrin biggrin biggrin

ПыСы: не суетитесь, второй фикс с каментами уже отослал.

#27. wr224

ikkunan salvataja написал:

ЗЫ: Таки вопрос остаётся открытым, на сетевом адаптере смотрящем во внешнюю сетку выставлен адрес 192.168.0.2, default gateway для этой сетки 192.168.0.1, можно ли при этом прокинуть интернет во внутренюю сетку используя ICS?
Ответить прошу без всяких лишних советов выпрямить руки, поскольку у меня всё работает. И если да, то кратенько объяснить как.

http://support.microsoft.com/kb/306126/ru. Если это сложно, то это повод задуматься...

#28. wr224

Linfan написал:

Читай, просвящайся: http://ophcrack.sourceforge.net/

ппц, планктонарий, тебе не надоело, что тебя регулярно макают мордой в незнание собственной платформы?

Ты знаешь что такое метод взлома по "rainbow tables"? Будешь год ломать, удачи прозревающий линуход. biggrin

#29. Linfan

Linfan
wr224 написал:
Ты знаешь что такое метод взлома по "rainbow tables"? Будешь год ломать, удачи прозревающий линуход.


Ну ясный пень - офисный планктон не в курсе динамической линковки, но все остальное, та шо вы, знает лучче всех ))))))))))))))

#30. Linfan

Linfan
wr224, слух, у тебя IE8 сегодня ACID3 уже прошел? Ну хотябы на 50%? ))))))))))))))))

#31. Manve

Manve
Linfan написал:
слух, у тебя IE8 сегодня ACID3 уже прошел? Ну хотябы на 50%?


Ну какая мне разница. прошел или нет. Главное, что работает.

Так что там насчет взлома пароля в W2K3? Было такое или нет? Давайте не отходить от темы.

#32. Linfan

Linfan
Manve написал:
Ну какая мне разница. прошел или нет. Главное, что работает.


Тебе - без разницы, поскольку газифицировал по этому поводу wr224

#33. Linfan

Linfan
Manve написал:
Так что там насчет взлома пароля в W2K3? Было такое или нет? Давайте не отходить от темы.


http://www.windowssecrets.com/comp/030213

#34. Manve

Manve
Linfan написал:
http://www.windowssecrets.com/comp/030213


Не, ну не путай теплое с мягким. С помощью CD я и с линукса все уволоку.

А тут вот прикинь ситуацию - ушел сотрудник на ланч, лочил комп по инструкции. Пришел, а от его имени ген. дир. нах послан по мылу.
И все залочено обратно.

И накаких дисков не надо.

#35. pavel2403

pavel2403
Linfan написал:
http://www.windowssecrets.com/comp/030213
Ты зачем привел эту ссылку?biggrin biggrin biggrin Что бы все поржали над тем как ты неумело слил? Там нет ничего нового, это все любой виндовый админ знает с первых дней работы.biggrin biggrin biggrin Ктстати там нет ни слова про Win2k3. Да Linfan, напрасно ты ввязываешся в тему информационной безопасности, сразу видно, что это не та тема, в которой ты хоть немного понимаешь!!!
=СЛИВ ЗАСЧИТАН=[color=][/color]

#36. Linfan

Linfan
pavel2403 написал:
Ты зачем привел эту ссылку?biggrin biggrin biggrin Что бы все поржали над тем как ты неумело слил? Там нет ничего нового, это все любой виндовый админ знает с первых дней работы.biggrin biggrin biggrin Ктстати там нет ни слова про Win2k3. Да Linfan, напрасно ты ввязываешся в тему информационной безопасности, сразу видно, что это не та тема, в которой ты хоть немного понимаешь!!!
=СЛИВ ЗАСЧИТАН=[color=][/color]


Паша не суетись, ссылок можно много разных нарыть. Я кстати параллельно еще и СЛОР тестил на предмет корректности работы.
Вы же все самоустранились, ибо чистые теоретики ))))))))))))

#37. pavel2403

pavel2403
Linfan написал:
Я кстати параллельно еще и СЛОР тестил на предмет корректности работы.
Вот это молодец! Уважуха!!! Видиш ли я сам то не силен в Web-программировании, не довелось как -то,sad sad sad а вот информбезопасность -моя вторая специальностьbiggrin biggrin biggrin

#38. Manve

Manve
Linfan написал:
Вы же все самоустранились, ибо чистые теоретики


Мы-то как раз практики.

Вот я выше показал как легко можно "подставить" коллегу по офису. За 30 сек. Не зная ничего в IT.

"Уволить сослуживца за 30 сек" )))

С виндой такое не прокатит, надеюсь ты не станешь это отрицать.
Более того, если ты сравниваешь современный линукс с ХР, то учти - тем самым ты признаешь отсталость линукса на многие годы.

#39. wr224

Linfan написал:

Ну ясный пень - офисный планктон не в курсе динамической линковки, но все остальное, та шо вы, знает лучче всех ))))))))))))))

Ты на вопрос конкретный отвечай. Та ссылка, что ты мне дал - фуфло еще то. Это не "восстановление пароля", а хак, используя "радужные таблицы". А на счет динамической линковки, меня сферические кони в вакууме мало заботят.
Linfan написал:

wr224, слух, у тебя IE8 сегодня ACID3 уже прошел? Ну хотябы на 50%? ))))))))))))))))

Приведи мне хотя бы ссылок так 5-10 популярных ресурсов, которые используют все технологии теста ACID3, а потом поговорим на эту тему, клоун. smile

#40. Armanx64

Armanx64
Фанат линуха, раз уж фиксишь сей движок, будь добр сделать так, что бы не было проблем с копированием. При выделении текста сообщения приходится начинать с имени. Этот баг как в IE, так и Safari. Про другие браузеры не знаю, но мне и пофиг.
[1] 2 3 4 5 6 7 8

Просмотров: 5476