* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
@ 2010-10-16 9:42 ` Michael Shigorin
2010-10-16 9:45 ` Andrey Rahmatullin
0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2010-10-16 9:42 UTC (permalink / raw)
To: devel
On Sat, Oct 16, 2010 at 01:34:20PM +0400, bugzilla-daemon wrote:
> https://bugzilla.altlinux.org/24333
>
> --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 ---
> Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал '.' ?
Вообще да, есть ли смысл охотиться в миллионе мест, когда есть общее?
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
2010-10-16 9:42 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Michael Shigorin
@ 2010-10-16 9:45 ` Andrey Rahmatullin
2010-10-16 11:41 ` Dmitry V. Levin
0 siblings, 1 reply; 13+ messages in thread
From: Andrey Rahmatullin @ 2010-10-16 9:45 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 556 bytes --]
On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote:
> > https://bugzilla.altlinux.org/24333
> >
> > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 ---
> > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал '.' ?
>
> Вообще да, есть ли смысл охотиться в миллионе мест, когда есть общее?
Заапстримить не забудьте.
--
WBR, wRAR
Powered by the ALT Linux fortune(6):
<-- altlinux (n=dmithan@***.***.ru) has left #altlinux
<gns> alarm! здесь был altlinux :)
<gns> дух альтлинукса покинул #altlinux
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
2010-10-16 9:45 ` Andrey Rahmatullin
@ 2010-10-16 11:41 ` Dmitry V. Levin
2010-10-16 12:58 ` Vitaly Lipatov
` (2 more replies)
0 siblings, 3 replies; 13+ messages in thread
From: Dmitry V. Levin @ 2010-10-16 11:41 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 759 bytes --]
On Sat, Oct 16, 2010 at 03:45:19PM +0600, Andrey Rahmatullin wrote:
> On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote:
> > > https://bugzilla.altlinux.org/24333
> > >
> > > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 ---
> > > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал '.' ?
> >
> > Вообще да, есть ли смысл охотиться в миллионе мест, когда есть общее?
> Заапстримить не забудьте.
Не дайте шанса самой мысли о том, чтобы попытаться, появиться в вашей
голове. ;)
Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
исправлен в корне более 9 лет назад, однако апстрим отказался принять
эти изменения. Этот конкретный апстрим извращённо консервативен.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
2010-10-16 11:41 ` Dmitry V. Levin
@ 2010-10-16 12:58 ` Vitaly Lipatov
2010-10-16 13:17 ` Dmitry V. Levin
2010-10-18 12:14 ` [devel] CVE-2010-3847 on FD Vladimir Lettiev
2010-10-19 12:15 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов
2 siblings, 1 reply; 13+ messages in thread
From: Vitaly Lipatov @ 2010-10-16 12:58 UTC (permalink / raw)
To: ALT Devel discussion list
В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a):
> On Sat, Oct 16, 2010 at 03:45:19PM +0600, Andrey Rahmatullin wrote:
> > On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote:
> > > > https://bugzilla.altlinux.org/24333
> > > >
> > > > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 ---
> > > > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал
...
> эти изменения. Этот конкретный апстрим извращённо консервативен.
Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет?
--
Lav
Виталий Липатов
Россия, Санкт-Петербург. www.etersoft.ru
GNU! ALT Linux Team! WINE! WIKI! LaTeX! LyX!
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
2010-10-16 12:58 ` Vitaly Lipatov
@ 2010-10-16 13:17 ` Dmitry V. Levin
2010-10-17 8:52 ` Vitaly Lipatov
0 siblings, 1 reply; 13+ messages in thread
From: Dmitry V. Levin @ 2010-10-16 13:17 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 750 bytes --]
On Sat, Oct 16, 2010 at 04:58:19PM +0400, Vitaly Lipatov wrote:
> В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a):
> > On Sat, Oct 16, 2010 at 03:45:19PM +0600, Andrey Rahmatullin wrote:
> > > On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote:
> > > > > https://bugzilla.altlinux.org/24333
> > > > >
> > > > > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 ---
> > > > > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал
> ...
> > эти изменения. Этот конкретный апстрим извращённо консервативен.
> Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет?
Есть, конечно, и решать её по прежнему надо в приложениях, которые
формируют LD_LIBRARY_PATH.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
2010-10-16 13:17 ` Dmitry V. Levin
@ 2010-10-17 8:52 ` Vitaly Lipatov
2010-10-17 9:27 ` Dmitry V. Levin
0 siblings, 1 reply; 13+ messages in thread
From: Vitaly Lipatov @ 2010-10-17 8:52 UTC (permalink / raw)
To: ALT Devel discussion list
В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a):
...
> > Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет?
>
> Есть, конечно, и решать её по прежнему надо в приложениях, которые
> формируют LD_LIBRARY_PATH.
А почему, когда в PATH был ./ по умолчанию, мы убрали его из PATH, а когда то
же самое делает ld, мы правим LD_LIBRARY_PATH?
И не надо ли создать скрипт типа
. /sbin/add_to_ld_library_path NEW_PATH
?
--
Lav
Виталий Липатов
Россия, Санкт-Петербург. www.etersoft.ru
GNU! ALT Linux Team! WINE! WIKI! LaTeX! LyX!
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
2010-10-17 8:52 ` Vitaly Lipatov
@ 2010-10-17 9:27 ` Dmitry V. Levin
0 siblings, 0 replies; 13+ messages in thread
From: Dmitry V. Levin @ 2010-10-17 9:27 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 735 bytes --]
On Sun, Oct 17, 2010 at 12:52:32PM +0400, Vitaly Lipatov wrote:
> В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a):
> ...
> > > Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет?
> >
> > Есть, конечно, и решать её по прежнему надо в приложениях, которые
> > формируют LD_LIBRARY_PATH.
> А почему, когда в PATH был ./ по умолчанию, мы убрали его из PATH, а когда то
> же самое делает ld, мы правим LD_LIBRARY_PATH?
ld.so не игнорирует элементы PATH, определённые пользователем,
а LD_LIBRARY_PATH по умолчанию вообще отсутствует.
> И не надо ли создать скрипт типа
> . /sbin/add_to_ld_library_path NEW_PATH
Вместо переменной LD_LIBRARY_PATH лучше собирать ELFы с RPATH.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* [devel] CVE-2010-3847 on FD
2010-10-16 11:41 ` Dmitry V. Levin
2010-10-16 12:58 ` Vitaly Lipatov
@ 2010-10-18 12:14 ` Vladimir Lettiev
2010-10-18 13:25 ` Michael Shigorin
2010-10-19 12:15 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов
2 siblings, 1 reply; 13+ messages in thread
From: Vladimir Lettiev @ 2010-10-18 12:14 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote:
>
> Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
> исправлен в корне более 9 лет назад, однако апстрим отказался принять
> эти изменения. Этот конкретный апстрим извращённо консервативен.
CVE-2010-3847 опубликовали на Full Disclosure:
http://seclists.org/fulldisclosure/2010/Oct/257
--
Vladimir Lettiev aka crux ✉ theCrux@gmail.com
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] CVE-2010-3847 on FD
2010-10-18 12:14 ` [devel] CVE-2010-3847 on FD Vladimir Lettiev
@ 2010-10-18 13:25 ` Michael Shigorin
2010-10-18 14:15 ` Vladimir Lettiev
0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2010-10-18 13:25 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Mon, Oct 18, 2010 at 04:14:49PM +0400, Vladimir Lettiev wrote:
> > Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
> > исправлен в корне более 9 лет назад, однако апстрим отказался принять
> > эти изменения. Этот конкретный апстрим извращённо консервативен.
> CVE-2010-3847 опубликовали на Full Disclosure:
> http://seclists.org/fulldisclosure/2010/Oct/257
Спасибо, Дима.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] CVE-2010-3847 on FD
2010-10-18 13:25 ` Michael Shigorin
@ 2010-10-18 14:15 ` Vladimir Lettiev
0 siblings, 0 replies; 13+ messages in thread
From: Vladimir Lettiev @ 2010-10-18 14:15 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Mon, Oct 18, 2010 at 04:25:56PM +0300, Michael Shigorin wrote:
> On Mon, Oct 18, 2010 at 04:14:49PM +0400, Vladimir Lettiev wrote:
> > > Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
> > > исправлен в корне более 9 лет назад, однако апстрим отказался принять
> > > эти изменения. Этот конкретный апстрим извращённо консервативен.
> > CVE-2010-3847 опубликовали на Full Disclosure:
> > http://seclists.org/fulldisclosure/2010/Oct/257
>
> Спасибо, Дима.
Некоторые пошли по другому пути: блокируют возможность использовать
технику, необходимую для exploit'а:
http://lwn.net/Articles/393012/
В частности опция SECURITY_YAMA_HARDLINKS=y не даёт создавать жёсткие
ссылки на объекты, на которые пользователь не имеет права чтения и записи
--
Vladimir Lettiev aka crux ✉ theCrux@gmail.com
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
2010-10-16 11:41 ` Dmitry V. Levin
2010-10-16 12:58 ` Vitaly Lipatov
2010-10-18 12:14 ` [devel] CVE-2010-3847 on FD Vladimir Lettiev
@ 2010-10-19 12:15 ` Денис Смирнов
2010-10-19 12:20 ` sbolshakov
2010-10-19 12:24 ` Led
2 siblings, 2 replies; 13+ messages in thread
From: Денис Смирнов @ 2010-10-19 12:15 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 506 bytes --]
On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote:
DVL> Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
DVL> исправлен в корне более 9 лет назад, однако апстрим отказался принять
DVL> эти изменения. Этот конкретный апстрим извращённо консервативен.
Очередной раз когда все в панике пользователи Owl и ALT спокойно радуются
жизни :)
--
С уважением, Денис
http://mithraen.ru/
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
2010-10-19 12:15 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов
@ 2010-10-19 12:20 ` sbolshakov
2010-10-19 12:24 ` Led
1 sibling, 0 replies; 13+ messages in thread
From: sbolshakov @ 2010-10-19 12:20 UTC (permalink / raw)
To: devel
>>>>> "mithraen" == mithraen <mithraen-EzvwY9xUkZCGiqJ2EaRE8Q@public.gmane.org> writes:
> On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote:
DVL> Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
DVL> исправлен в корне более 9 лет назад, однако апстрим отказался принять
DVL> эти изменения. Этот конкретный апстрим извращённо консервативен.
> Очередной раз когда все в панике пользователи Owl и ALT спокойно радуются
> жизни :)
казнить нельзя помиловать.
--
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
2010-10-19 12:15 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов
2010-10-19 12:20 ` sbolshakov
@ 2010-10-19 12:24 ` Led
1 sibling, 0 replies; 13+ messages in thread
From: Led @ 2010-10-19 12:24 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Tuesday 19 October 2010 15:15:03 Денис Смирнов wrote:
> On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote:
>
> DVL> Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
> DVL> исправлен в корне более 9 лет назад, однако апстрим отказался принять
> DVL> эти изменения. Этот конкретный апстрим извращённо консервативен.
>
> Очередной раз когда все в панике пользователи Owl и ALT спокойно радуются
> жизни :)
"Во многой мудрости много печали; и кто умножает познания, умножает скорбь"
(Книга Екклесиаста)
--
Led
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2010-10-19 12:24 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-10-16 9:42 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Michael Shigorin
2010-10-16 9:45 ` Andrey Rahmatullin
2010-10-16 11:41 ` Dmitry V. Levin
2010-10-16 12:58 ` Vitaly Lipatov
2010-10-16 13:17 ` Dmitry V. Levin
2010-10-17 8:52 ` Vitaly Lipatov
2010-10-17 9:27 ` Dmitry V. Levin
2010-10-18 12:14 ` [devel] CVE-2010-3847 on FD Vladimir Lettiev
2010-10-18 13:25 ` Michael Shigorin
2010-10-18 14:15 ` Vladimir Lettiev
2010-10-19 12:15 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов
2010-10-19 12:20 ` sbolshakov
2010-10-19 12:24 ` Led
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git