ALT Linux Team development discussions
 help / color / mirror / Atom feed
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
  @ 2010-10-16  9:42   ` Michael Shigorin
  2010-10-16  9:45     ` Andrey Rahmatullin
  0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2010-10-16  9:42 UTC (permalink / raw)
  To: devel

On Sat, Oct 16, 2010 at 01:34:20PM +0400, bugzilla-daemon wrote:
> https://bugzilla.altlinux.org/24333
> 
> --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 ---
> Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал '.' ?

Вообще да, есть ли смысл охотиться в миллионе мест, когда есть общее?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
  2010-10-16  9:42   ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Michael Shigorin
@ 2010-10-16  9:45     ` Andrey Rahmatullin
  2010-10-16 11:41       ` Dmitry V. Levin
  0 siblings, 1 reply; 13+ messages in thread
From: Andrey Rahmatullin @ 2010-10-16  9:45 UTC (permalink / raw)
  To: devel

[-- Attachment #1: Type: text/plain, Size: 556 bytes --]

On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote:
> > https://bugzilla.altlinux.org/24333
> > 
> > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 ---
> > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал '.' ?
> 
> Вообще да, есть ли смысл охотиться в миллионе мест, когда есть общее?
Заапстримить не забудьте.

-- 
WBR, wRAR
Powered by the ALT Linux fortune(6):

<-- altlinux (n=dmithan@***.***.ru) has left #altlinux
<gns> alarm! здесь был altlinux :)
<gns> дух альтлинукса покинул #altlinux

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
  2010-10-16  9:45     ` Andrey Rahmatullin
@ 2010-10-16 11:41       ` Dmitry V. Levin
  2010-10-16 12:58         ` Vitaly Lipatov
                           ` (2 more replies)
  0 siblings, 3 replies; 13+ messages in thread
From: Dmitry V. Levin @ 2010-10-16 11:41 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 759 bytes --]

On Sat, Oct 16, 2010 at 03:45:19PM +0600, Andrey Rahmatullin wrote:
> On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote:
> > > https://bugzilla.altlinux.org/24333
> > > 
> > > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 ---
> > > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал '.' ?
> > 
> > Вообще да, есть ли смысл охотиться в миллионе мест, когда есть общее?
> Заапстримить не забудьте.

Не дайте шанса самой мысли о том, чтобы попытаться, появиться в вашей
голове. ;)

Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
исправлен в корне более 9 лет назад, однако апстрим отказался принять
эти изменения.  Этот конкретный апстрим извращённо консервативен.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
  2010-10-16 11:41       ` Dmitry V. Levin
@ 2010-10-16 12:58         ` Vitaly Lipatov
  2010-10-16 13:17           ` Dmitry V. Levin
  2010-10-18 12:14         ` [devel] CVE-2010-3847 on FD Vladimir Lettiev
  2010-10-19 12:15         ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов
  2 siblings, 1 reply; 13+ messages in thread
From: Vitaly Lipatov @ 2010-10-16 12:58 UTC (permalink / raw)
  To: ALT Devel discussion list

В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a):
> On Sat, Oct 16, 2010 at 03:45:19PM +0600, Andrey Rahmatullin wrote:
> > On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote:
> > > > https://bugzilla.altlinux.org/24333
> > > > 
> > > > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 ---
> > > > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал
...
> эти изменения.  Этот конкретный апстрим извращённо консервативен.
Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет?

-- 
Lav
Виталий Липатов
Россия, Санкт-Петербург. www.etersoft.ru
GNU! ALT Linux Team! WINE! WIKI! LaTeX! LyX!

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
  2010-10-16 12:58         ` Vitaly Lipatov
@ 2010-10-16 13:17           ` Dmitry V. Levin
  2010-10-17  8:52             ` Vitaly Lipatov
  0 siblings, 1 reply; 13+ messages in thread
From: Dmitry V. Levin @ 2010-10-16 13:17 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 750 bytes --]

On Sat, Oct 16, 2010 at 04:58:19PM +0400, Vitaly Lipatov wrote:
> В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a):
> > On Sat, Oct 16, 2010 at 03:45:19PM +0600, Andrey Rahmatullin wrote:
> > > On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote:
> > > > > https://bugzilla.altlinux.org/24333
> > > > > 
> > > > > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 ---
> > > > > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал
> ...
> > эти изменения.  Этот конкретный апстрим извращённо консервативен.
> Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет?

Есть, конечно, и решать её по прежнему надо в приложениях, которые
формируют LD_LIBRARY_PATH.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
  2010-10-16 13:17           ` Dmitry V. Levin
@ 2010-10-17  8:52             ` Vitaly Lipatov
  2010-10-17  9:27               ` Dmitry V. Levin
  0 siblings, 1 reply; 13+ messages in thread
From: Vitaly Lipatov @ 2010-10-17  8:52 UTC (permalink / raw)
  To: ALT Devel discussion list

В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a):
...
> > Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет?
> 
> Есть, конечно, и решать её по прежнему надо в приложениях, которые
> формируют LD_LIBRARY_PATH.
А почему, когда в PATH был ./ по умолчанию, мы убрали его из PATH, а когда то 
же самое делает ld, мы правим LD_LIBRARY_PATH?

И не надо ли создать скрипт типа 
. /sbin/add_to_ld_library_path NEW_PATH
?

-- 
Lav
Виталий Липатов
Россия, Санкт-Петербург. www.etersoft.ru
GNU! ALT Linux Team! WINE! WIKI! LaTeX! LyX!

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
  2010-10-17  8:52             ` Vitaly Lipatov
@ 2010-10-17  9:27               ` Dmitry V. Levin
  0 siblings, 0 replies; 13+ messages in thread
From: Dmitry V. Levin @ 2010-10-17  9:27 UTC (permalink / raw)
  To: ALT Devel discussion list

[-- Attachment #1: Type: text/plain, Size: 735 bytes --]

On Sun, Oct 17, 2010 at 12:52:32PM +0400, Vitaly Lipatov wrote:
> В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a):
> ...
> > > Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет?
> > 
> > Есть, конечно, и решать её по прежнему надо в приложениях, которые
> > формируют LD_LIBRARY_PATH.
> А почему, когда в PATH был ./ по умолчанию, мы убрали его из PATH, а когда то 
> же самое делает ld, мы правим LD_LIBRARY_PATH?

ld.so не игнорирует элементы PATH, определённые пользователем,
а LD_LIBRARY_PATH по умолчанию вообще отсутствует.

> И не надо ли создать скрипт типа 
> . /sbin/add_to_ld_library_path NEW_PATH

Вместо переменной LD_LIBRARY_PATH лучше собирать ELFы с RPATH.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* [devel] CVE-2010-3847 on FD
  2010-10-16 11:41       ` Dmitry V. Levin
  2010-10-16 12:58         ` Vitaly Lipatov
@ 2010-10-18 12:14         ` Vladimir Lettiev
  2010-10-18 13:25           ` Michael Shigorin
  2010-10-19 12:15         ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов
  2 siblings, 1 reply; 13+ messages in thread
From: Vladimir Lettiev @ 2010-10-18 12:14 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote:
> 
> Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
> исправлен в корне более 9 лет назад, однако апстрим отказался принять
> эти изменения.  Этот конкретный апстрим извращённо консервативен.

CVE-2010-3847 опубликовали на Full Disclosure:
http://seclists.org/fulldisclosure/2010/Oct/257 

-- 
Vladimir Lettiev aka crux ✉ theCrux@gmail.com


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [devel] CVE-2010-3847 on FD
  2010-10-18 12:14         ` [devel] CVE-2010-3847 on FD Vladimir Lettiev
@ 2010-10-18 13:25           ` Michael Shigorin
  2010-10-18 14:15             ` Vladimir Lettiev
  0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2010-10-18 13:25 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Mon, Oct 18, 2010 at 04:14:49PM +0400, Vladimir Lettiev wrote:
> > Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
> > исправлен в корне более 9 лет назад, однако апстрим отказался принять
> > эти изменения.  Этот конкретный апстрим извращённо консервативен.
> CVE-2010-3847 опубликовали на Full Disclosure:
> http://seclists.org/fulldisclosure/2010/Oct/257 

Спасибо, Дима.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [devel] CVE-2010-3847 on FD
  2010-10-18 13:25           ` Michael Shigorin
@ 2010-10-18 14:15             ` Vladimir Lettiev
  0 siblings, 0 replies; 13+ messages in thread
From: Vladimir Lettiev @ 2010-10-18 14:15 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Mon, Oct 18, 2010 at 04:25:56PM +0300, Michael Shigorin wrote:
> On Mon, Oct 18, 2010 at 04:14:49PM +0400, Vladimir Lettiev wrote:
> > > Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
> > > исправлен в корне более 9 лет назад, однако апстрим отказался принять
> > > эти изменения.  Этот конкретный апстрим извращённо консервативен.
> > CVE-2010-3847 опубликовали на Full Disclosure:
> > http://seclists.org/fulldisclosure/2010/Oct/257 
> 
> Спасибо, Дима.

Некоторые пошли по другому пути: блокируют возможность использовать
технику, необходимую для exploit'а:

http://lwn.net/Articles/393012/

В частности опция SECURITY_YAMA_HARDLINKS=y не даёт создавать жёсткие
ссылки на объекты, на которые пользователь не имеет права чтения и записи

-- 
Vladimir Lettiev aka crux ✉ theCrux@gmail.com


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
  2010-10-16 11:41       ` Dmitry V. Levin
  2010-10-16 12:58         ` Vitaly Lipatov
  2010-10-18 12:14         ` [devel] CVE-2010-3847 on FD Vladimir Lettiev
@ 2010-10-19 12:15         ` Денис Смирнов
  2010-10-19 12:20           ` sbolshakov
  2010-10-19 12:24           ` Led
  2 siblings, 2 replies; 13+ messages in thread
From: Денис Смирнов @ 2010-10-19 12:15 UTC (permalink / raw)
  To: devel

[-- Attachment #1: Type: text/plain, Size: 506 bytes --]

On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote:

DVL> Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
DVL> исправлен в корне более 9 лет назад, однако апстрим отказался принять
DVL> эти изменения.  Этот конкретный апстрим извращённо консервативен.

Очередной раз когда все в панике пользователи Owl и ALT спокойно радуются
жизни :)

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
  2010-10-19 12:15         ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов
@ 2010-10-19 12:20           ` sbolshakov
  2010-10-19 12:24           ` Led
  1 sibling, 0 replies; 13+ messages in thread
From: sbolshakov @ 2010-10-19 12:20 UTC (permalink / raw)
  To: devel

>>>>> "mithraen" == mithraen  <mithraen-EzvwY9xUkZCGiqJ2EaRE8Q@public.gmane.org> writes:

 > On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote:
 DVL> Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
 DVL> исправлен в корне более 9 лет назад, однако апстрим отказался принять
 DVL> эти изменения.  Этот конкретный апстрим извращённо консервативен.

 > Очередной раз когда все в панике пользователи Owl и ALT спокойно радуются
 > жизни :)
казнить нельзя помиловать.

-- 


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading
  2010-10-19 12:15         ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов
  2010-10-19 12:20           ` sbolshakov
@ 2010-10-19 12:24           ` Led
  1 sibling, 0 replies; 13+ messages in thread
From: Led @ 2010-10-19 12:24 UTC (permalink / raw)
  To: ALT Linux Team development discussions

On Tuesday 19 October 2010 15:15:03 Денис Смирнов wrote:
> On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote:
>
> DVL> Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был
> DVL> исправлен в корне более 9 лет назад, однако апстрим отказался принять
> DVL> эти изменения.  Этот конкретный апстрим извращённо консервативен.
>
> Очередной раз когда все в панике пользователи Owl и ALT спокойно радуются
> жизни :)

"Во многой мудрости много печали; и кто умножает познания, умножает скорбь"   
(Книга Екклесиаста)

-- 
Led

^ permalink raw reply	[flat|nested] 13+ messages in thread

end of thread, other threads:[~2010-10-19 12:24 UTC | newest]

Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-10-16  9:42   ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Michael Shigorin
2010-10-16  9:45     ` Andrey Rahmatullin
2010-10-16 11:41       ` Dmitry V. Levin
2010-10-16 12:58         ` Vitaly Lipatov
2010-10-16 13:17           ` Dmitry V. Levin
2010-10-17  8:52             ` Vitaly Lipatov
2010-10-17  9:27               ` Dmitry V. Levin
2010-10-18 12:14         ` [devel] CVE-2010-3847 on FD Vladimir Lettiev
2010-10-18 13:25           ` Michael Shigorin
2010-10-18 14:15             ` Vladimir Lettiev
2010-10-19 12:15         ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов
2010-10-19 12:20           ` sbolshakov
2010-10-19 12:24           ` Led

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git