* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading @ 2010-10-16 9:42 ` Michael Shigorin 2010-10-16 9:45 ` Andrey Rahmatullin 0 siblings, 1 reply; 13+ messages in thread From: Michael Shigorin @ 2010-10-16 9:42 UTC (permalink / raw) To: devel On Sat, Oct 16, 2010 at 01:34:20PM +0400, bugzilla-daemon wrote: > https://bugzilla.altlinux.org/24333 > > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 --- > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал '.' ? Вообще да, есть ли смысл охотиться в миллионе мест, когда есть общее? -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading 2010-10-16 9:42 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Michael Shigorin @ 2010-10-16 9:45 ` Andrey Rahmatullin 2010-10-16 11:41 ` Dmitry V. Levin 0 siblings, 1 reply; 13+ messages in thread From: Andrey Rahmatullin @ 2010-10-16 9:45 UTC (permalink / raw) To: devel [-- Attachment #1: Type: text/plain, Size: 556 bytes --] On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote: > > https://bugzilla.altlinux.org/24333 > > > > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 --- > > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал '.' ? > > Вообще да, есть ли смысл охотиться в миллионе мест, когда есть общее? Заапстримить не забудьте. -- WBR, wRAR Powered by the ALT Linux fortune(6): <-- altlinux (n=dmithan@***.***.ru) has left #altlinux <gns> alarm! здесь был altlinux :) <gns> дух альтлинукса покинул #altlinux [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 490 bytes --] ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading 2010-10-16 9:45 ` Andrey Rahmatullin @ 2010-10-16 11:41 ` Dmitry V. Levin 2010-10-16 12:58 ` Vitaly Lipatov ` (2 more replies) 0 siblings, 3 replies; 13+ messages in thread From: Dmitry V. Levin @ 2010-10-16 11:41 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 759 bytes --] On Sat, Oct 16, 2010 at 03:45:19PM +0600, Andrey Rahmatullin wrote: > On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote: > > > https://bugzilla.altlinux.org/24333 > > > > > > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 --- > > > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал '.' ? > > > > Вообще да, есть ли смысл охотиться в миллионе мест, когда есть общее? > Заапстримить не забудьте. Не дайте шанса самой мысли о том, чтобы попытаться, появиться в вашей голове. ;) Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был исправлен в корне более 9 лет назад, однако апстрим отказался принять эти изменения. Этот конкретный апстрим извращённо консервативен. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --] ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading 2010-10-16 11:41 ` Dmitry V. Levin @ 2010-10-16 12:58 ` Vitaly Lipatov 2010-10-16 13:17 ` Dmitry V. Levin 2010-10-18 12:14 ` [devel] CVE-2010-3847 on FD Vladimir Lettiev 2010-10-19 12:15 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов 2 siblings, 1 reply; 13+ messages in thread From: Vitaly Lipatov @ 2010-10-16 12:58 UTC (permalink / raw) To: ALT Devel discussion list В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a): > On Sat, Oct 16, 2010 at 03:45:19PM +0600, Andrey Rahmatullin wrote: > > On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote: > > > > https://bugzilla.altlinux.org/24333 > > > > > > > > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 --- > > > > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал ... > эти изменения. Этот конкретный апстрим извращённо консервативен. Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет? -- Lav Виталий Липатов Россия, Санкт-Петербург. www.etersoft.ru GNU! ALT Linux Team! WINE! WIKI! LaTeX! LyX! ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading 2010-10-16 12:58 ` Vitaly Lipatov @ 2010-10-16 13:17 ` Dmitry V. Levin 2010-10-17 8:52 ` Vitaly Lipatov 0 siblings, 1 reply; 13+ messages in thread From: Dmitry V. Levin @ 2010-10-16 13:17 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 750 bytes --] On Sat, Oct 16, 2010 at 04:58:19PM +0400, Vitaly Lipatov wrote: > В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a): > > On Sat, Oct 16, 2010 at 03:45:19PM +0600, Andrey Rahmatullin wrote: > > > On Sat, Oct 16, 2010 at 12:42:35PM +0300, Michael Shigorin wrote: > > > > > https://bugzilla.altlinux.org/24333 > > > > > > > > > > --- #1 Vitaly Lipatov <lav@altlinux> 2010-10-16 13:34:19 --- > > > > > Не понял, мне прислать патч для ld.so, чтобы он пустое поле не считал > ... > > эти изменения. Этот конкретный апстрим извращённо консервативен. > Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет? Есть, конечно, и решать её по прежнему надо в приложениях, которые формируют LD_LIBRARY_PATH. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --] ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading 2010-10-16 13:17 ` Dmitry V. Levin @ 2010-10-17 8:52 ` Vitaly Lipatov 2010-10-17 9:27 ` Dmitry V. Levin 0 siblings, 1 reply; 13+ messages in thread From: Vitaly Lipatov @ 2010-10-17 8:52 UTC (permalink / raw) To: ALT Devel discussion list В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a): ... > > Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет? > > Есть, конечно, и решать её по прежнему надо в приложениях, которые > формируют LD_LIBRARY_PATH. А почему, когда в PATH был ./ по умолчанию, мы убрали его из PATH, а когда то же самое делает ld, мы правим LD_LIBRARY_PATH? И не надо ли создать скрипт типа . /sbin/add_to_ld_library_path NEW_PATH ? -- Lav Виталий Липатов Россия, Санкт-Петербург. www.etersoft.ru GNU! ALT Linux Team! WINE! WIKI! LaTeX! LyX! ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading 2010-10-17 8:52 ` Vitaly Lipatov @ 2010-10-17 9:27 ` Dmitry V. Levin 0 siblings, 0 replies; 13+ messages in thread From: Dmitry V. Levin @ 2010-10-17 9:27 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 735 bytes --] On Sun, Oct 17, 2010 at 12:52:32PM +0400, Vitaly Lipatov wrote: > В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a): > ... > > > Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет? > > > > Есть, конечно, и решать её по прежнему надо в приложениях, которые > > формируют LD_LIBRARY_PATH. > А почему, когда в PATH был ./ по умолчанию, мы убрали его из PATH, а когда то > же самое делает ld, мы правим LD_LIBRARY_PATH? ld.so не игнорирует элементы PATH, определённые пользователем, а LD_LIBRARY_PATH по умолчанию вообще отсутствует. > И не надо ли создать скрипт типа > . /sbin/add_to_ld_library_path NEW_PATH Вместо переменной LD_LIBRARY_PATH лучше собирать ELFы с RPATH. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --] ^ permalink raw reply [flat|nested] 13+ messages in thread
* [devel] CVE-2010-3847 on FD 2010-10-16 11:41 ` Dmitry V. Levin 2010-10-16 12:58 ` Vitaly Lipatov @ 2010-10-18 12:14 ` Vladimir Lettiev 2010-10-18 13:25 ` Michael Shigorin 2010-10-19 12:15 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов 2 siblings, 1 reply; 13+ messages in thread From: Vladimir Lettiev @ 2010-10-18 12:14 UTC (permalink / raw) To: ALT Linux Team development discussions On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote: > > Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был > исправлен в корне более 9 лет назад, однако апстрим отказался принять > эти изменения. Этот конкретный апстрим извращённо консервативен. CVE-2010-3847 опубликовали на Full Disclosure: http://seclists.org/fulldisclosure/2010/Oct/257 -- Vladimir Lettiev aka crux ✉ theCrux@gmail.com ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] CVE-2010-3847 on FD 2010-10-18 12:14 ` [devel] CVE-2010-3847 on FD Vladimir Lettiev @ 2010-10-18 13:25 ` Michael Shigorin 2010-10-18 14:15 ` Vladimir Lettiev 0 siblings, 1 reply; 13+ messages in thread From: Michael Shigorin @ 2010-10-18 13:25 UTC (permalink / raw) To: ALT Linux Team development discussions On Mon, Oct 18, 2010 at 04:14:49PM +0400, Vladimir Lettiev wrote: > > Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был > > исправлен в корне более 9 лет назад, однако апстрим отказался принять > > эти изменения. Этот конкретный апстрим извращённо консервативен. > CVE-2010-3847 опубликовали на Full Disclosure: > http://seclists.org/fulldisclosure/2010/Oct/257 Спасибо, Дима. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] CVE-2010-3847 on FD 2010-10-18 13:25 ` Michael Shigorin @ 2010-10-18 14:15 ` Vladimir Lettiev 0 siblings, 0 replies; 13+ messages in thread From: Vladimir Lettiev @ 2010-10-18 14:15 UTC (permalink / raw) To: ALT Linux Team development discussions On Mon, Oct 18, 2010 at 04:25:56PM +0300, Michael Shigorin wrote: > On Mon, Oct 18, 2010 at 04:14:49PM +0400, Vladimir Lettiev wrote: > > > Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был > > > исправлен в корне более 9 лет назад, однако апстрим отказался принять > > > эти изменения. Этот конкретный апстрим извращённо консервативен. > > CVE-2010-3847 опубликовали на Full Disclosure: > > http://seclists.org/fulldisclosure/2010/Oct/257 > > Спасибо, Дима. Некоторые пошли по другому пути: блокируют возможность использовать технику, необходимую для exploit'а: http://lwn.net/Articles/393012/ В частности опция SECURITY_YAMA_HARDLINKS=y не даёт создавать жёсткие ссылки на объекты, на которые пользователь не имеет права чтения и записи -- Vladimir Lettiev aka crux ✉ theCrux@gmail.com ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading 2010-10-16 11:41 ` Dmitry V. Levin 2010-10-16 12:58 ` Vitaly Lipatov 2010-10-18 12:14 ` [devel] CVE-2010-3847 on FD Vladimir Lettiev @ 2010-10-19 12:15 ` Денис Смирнов 2010-10-19 12:20 ` sbolshakov 2010-10-19 12:24 ` Led 2 siblings, 2 replies; 13+ messages in thread From: Денис Смирнов @ 2010-10-19 12:15 UTC (permalink / raw) To: devel [-- Attachment #1: Type: text/plain, Size: 506 bytes --] On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote: DVL> Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был DVL> исправлен в корне более 9 лет назад, однако апстрим отказался принять DVL> эти изменения. Этот конкретный апстрим извращённо консервативен. Очередной раз когда все в панике пользователи Owl и ALT спокойно радуются жизни :) -- С уважением, Денис http://mithraen.ru/ ---------------------------------------------------------------------------- [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 198 bytes --] ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading 2010-10-19 12:15 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов @ 2010-10-19 12:20 ` sbolshakov 2010-10-19 12:24 ` Led 1 sibling, 0 replies; 13+ messages in thread From: sbolshakov @ 2010-10-19 12:20 UTC (permalink / raw) To: devel >>>>> "mithraen" == mithraen <mithraen-EzvwY9xUkZCGiqJ2EaRE8Q@public.gmane.org> writes: > On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote: DVL> Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был DVL> исправлен в корне более 9 лет назад, однако апстрим отказался принять DVL> эти изменения. Этот конкретный апстрим извращённо консервативен. > Очередной раз когда все в панике пользователи Owl и ALT спокойно радуются > жизни :) казнить нельзя помиловать. -- ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] [Bug 24333] CVE-2010-3385: insecure library loading 2010-10-19 12:15 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов 2010-10-19 12:20 ` sbolshakov @ 2010-10-19 12:24 ` Led 1 sibling, 0 replies; 13+ messages in thread From: Led @ 2010-10-19 12:24 UTC (permalink / raw) To: ALT Linux Team development discussions On Tuesday 19 October 2010 15:15:03 Денис Смирнов wrote: > On Sat, Oct 16, 2010 at 03:41:28PM +0400, Dmitry V. Levin wrote: > > DVL> Скоро будет опубликован CVE-2010-3847, который в Owl и ALT Linux был > DVL> исправлен в корне более 9 лет назад, однако апстрим отказался принять > DVL> эти изменения. Этот конкретный апстрим извращённо консервативен. > > Очередной раз когда все в панике пользователи Owl и ALT спокойно радуются > жизни :) "Во многой мудрости много печали; и кто умножает познания, умножает скорбь" (Книга Екклесиаста) -- Led ^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2010-10-19 12:24 UTC | newest] Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2010-10-16 9:42 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Michael Shigorin 2010-10-16 9:45 ` Andrey Rahmatullin 2010-10-16 11:41 ` Dmitry V. Levin 2010-10-16 12:58 ` Vitaly Lipatov 2010-10-16 13:17 ` Dmitry V. Levin 2010-10-17 8:52 ` Vitaly Lipatov 2010-10-17 9:27 ` Dmitry V. Levin 2010-10-18 12:14 ` [devel] CVE-2010-3847 on FD Vladimir Lettiev 2010-10-18 13:25 ` Michael Shigorin 2010-10-18 14:15 ` Vladimir Lettiev 2010-10-19 12:15 ` [devel] [Bug 24333] CVE-2010-3385: insecure library loading Денис Смирнов 2010-10-19 12:20 ` sbolshakov 2010-10-19 12:24 ` Led
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git