Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: ◀ 1 … 6 7 8 9 10 … 15 ▶
Data publikacji: 13 Maj, 2014 r
URL: Biuletyn bezpieczństwa - APSB14
Pakiet: flashplugin-nonfree, pepperflashplugin-nonfree
Typ: aktualizacja wersji 11.2.202.356 (Linux), 13.0.0.206 (wersja Google Chrome etc.)
Opis: Pakiet Adobe Flash Player 11.2.202.359, Pepper Flash Player 13.0.0.214 zawiera poprawki odnoszące się do bezpieczeństwa. Dotyczą one luk, które mogą - potencjalnie - umożliwić atakującemu przejęcie kontroli nad zaatakowanym systemem.
Ostatnio edytowany przez remi (2014-05-15 15:59:06)
Offline
Kontroli nad zaatakowanym Linuxem raczej nie przejmą, bo w kernelu i innych kluczowych flakach jak GNU LibC nie ma przeważnie wystarczająco kompatybilnej dziury, żeby Flash wbił się na roota. :D
Może co najwyżej buszować po koncie użyszkodnika w domyślnym Linuxie, a w moim?
Co może w moim, to widać tutaj:
http://jacekalex.sh.dug.net.pl/apparmor/usr.lib64.f … container.txt
Także ta informacja o kontroli nad zaatakowanym systemem jest mniej lub bardziej (w zależności od systemu) przesadzona.
Do przejęcia kontroli nad nawet niezbyt starannie skonfigurowanym
Debianem z poziomu Flasha, to bardzo daleka droga, w dodatku Firefox, Opera i Chrome/Chromium mają specjalne kontenery/sandboxy dla wtyczek. :D
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2014-05-14 01:32:09)
Offline
Cześć Jacku, czy mając profil zarówno dla Firefoxa oraz procesu plugin-container (oczywiście, mam na myśli typ enforce), w wyniku np. polecenia apparmor_status, pojawiają się dwa wpisy odnoszące się, tylko do Firefoxa (przykładem może być uruchomiona przeglądarka wraz z włączoną stroną typu YouTube etc.), czy istnieje również informacja dla /usr/lib64/firefox/plugin-container? Być może nie wyraziłem się dosyć jasno. Chodzi mi o w/w polecenie i wynik jego działania. Czy w Twoim przypadku, wygląda to, powiedzmy w ten sposób?:
$ sudo apparmor_status
(...)
2 processes are in enforce mode.
/usr/lib/firefox/firefox{,*[^s][^h]} (1976)
/usr/lib64/firefox/plugin-container (1755)
Czy jest zupełnie inaczej, tj. w miejscu informującym o procesach będących w trybie enforce, pojawia się podwójny wpis odnoszący się, tylko do Firefoxa? Oczywiście /usr/lib64/firefox/plugin-container, wymieniony jest w miejscu, które podaje ilość profili w trybie enforce, ale plugin-container nie występuje właśnie w pozycji odnoszącej się do procesów. Podsumowując;
2 processes are in enforce mode.
/usr/lib/firefox/firefox{,*[^s][^h]} (1976)
/usr/lib/firefox/firefox{,*[^s][^h]} (1663)
I jeszcze jedno; dodałeś może do profilu Firefoxa taką oto rzecz: "/usr/lib/firefox/plugin-container Px,"? (W tym przypadku dotyczy, oczywiście wersji 32 bitowej).
Pozdrawiam serdecznie.
Offline
Nie używam polecenia apparmor_status, zrobiłem sobie własnego skrypcia:
#!/bin/bash PROGRAM=$1 if [ ! -z $PROGRAM ] then egrep $PROGRAM /sys/kernel/security/apparmor/profiles; else cat /sys/kernel/security/apparmor/profiles; fi; exit 0;
Skrypcio musi startować jako root, da się to ustawić w /etc/sudoers,
żeby pacjent mógł go użyć bez hasła.
Wynik skrypcia:
aastatus firefox /usr/lib64/firefox/plugin-container (enforce) /usr/lib64/firefox/firefox (enforce) /opt/firefox-nightly/plugin-container (enforce) /opt/firefox-nightly/firefox (enforce)
Jak widać, pokazuje elegancko, co jest grane, w wersji bardziej strawnej niż apparmor_status i aa_status. ;)
Jak w profilu Firefoxa ustawić odpalanie plugin-containera?
Ja mam tak:
/usr/lib64/firefox/plugin-container PUx,
Po prostu popraw ścieżkę do binarki plugin-container, jeżeli jest inna.
Cały profil FF u mnie:
http://jacekalex.sh.dug.net.pl/apparmor/usr.lib64.firefox.firefox.txt
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2014-05-15 17:30:23)
Offline
Serwus. Dzięki, zapytałem z czystej ciekawości. Pozdrawiam.
Offline
Serwus. Zaskoczyła mnie pewna informacja, dot. systemu Gentoo Linuks oraz pakietu www-plugins/adobe-flash. Tym, co wywołało u mnie zdziwienie, jest informacja o aktualizacji w/w pakietu, do najnowszej wersji 11.2.202.359, dopiero w dniu 10.go czerwca (GLSA-201406-08). Jak powszechnie wiadomo, pakiet flashplugin-nonfree (Gentoo Linuks, wydaje się korzystać z innego nazewnictwa, ale to chyba, mało istotny szczegół) uaktualniono 13.go maja (zob. apsb14). Czyżby czekano ponad miesiąc?
A może, po prostu zgłoszenie opublikowano z takim opóźnieniem, biorąc pod uwagę fakt, że ostatnia aktualizacja dostała 3.kę w tzw. systemie wskaźników ważności, zawartym w każdym Biuletynie bezpieczeństwa? Oznacza, to między innymi, usunięcie luk, które nie były w przeszłości celem dla atakujących a dodatkowo Firma Adobe zaleca administratorom zainstalowanie aktualizacji według własnego uznania etc. W takim wypadku, można zrozumieć ten, powiedzmy, poślizg.
Tak z czystej ciekawości: mógłby któs napisać, kiedy była dostępna aktualizacja pakietu flashplugin-nonfree do wersji 11.2.202.359? Czy miało, to miejsce wkrótce po oficjalnym zgłoszeniu z dnia 13.go maja, czy dopiero 10.go czerwca? Owa sytuacja zaintrygowała mnie, wzbudzając moje zainteresowanie oraz ciekawość. Nic więcej :- )
Pozdrawiam serdecznie.
Offline
Faktycznie było później ogłoszone na GLSA, czasem tak się zdarza.
Przy czym mnie to w ogóle nie przejmuje, patrzy wyżej (cały plugin-container w klatce Apparmora), i myślę że więcej ludzi na Gentoo tak ma, Chroot, Apparmor, Selinux, GRSEC-ACL, czy inne dziwadła, które powodują, że Flasha nie trzeba się obawiać.
W programach zawsze będą mniejsze i większe dziury, dlatego robi się rożne inne linie obrony, mające chronić przed potencjalnym zagrożeniem ze strony takiego programu, a sam plugin-container w Firefoxie i operapluginwrapper Operze to też są sandboxy dla wtyczek, i też stanowią dodatkową linię obrony.
Także nie ma co demonizować Flasha i jego zagrożenia,
Gentoo, to nie XP. :D
Kiedy zainstalowana?
Info about currently installed ebuild: * www-plugins/adobe-flash-11.2.202.359 Install date: Thu May 15 20:39:14 2014 USE="sse2 -debug -kde -selinux" CFLAGS="-march=native -mssse3 -O2 -pipe"
Także nie ma się czym przejmować, myślę, że trochę przesadzasz z tym przywiązaniem do rożnych DSA/GLSA, w Linuxie się po prostu aktualizuje system, i to wszystko.
Z resztą tu masz historię wersji z Gentoo:
http://data.gpo.zugaina.org/gentoo/www-plugins/adobe-flash/ChangeLog
PS:
Flash 11.2.202.359 wczoraj wyleciał z drzewa, zastąpił go:
* www-plugins/adobe-flash-11.2.202.378 Install date: Wed Jun 11 15:11:38 2014 USE="sse2 -debug -kde -selinux" CFLAGS="-march=native -mssse3 -O2 -pipe"
:D
Także tym razem Developerzy Gentoo byli szybsi od Ciebie xD
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2014-06-11 15:15:05)
Offline
remi napisał(-a):
Tak z czystej ciekawości: mógłby któs napisać, kiedy była dostępna aktualizacja pakietu flashplugin-nonfree do wersji 11.2.202.359? Czy miało, to miejsce wkrótce po oficjalnym zgłoszeniu z dnia 13.go maja, czy dopiero 10.go czerwca? Owa sytuacja zaintrygowała mnie, wzbudzając moje zainteresowanie oraz ciekawość. Nic więcej :- )
11.2.202.359: 13-May-2014 19:18
11.2.202.378: 10-Jun-2014 17:47
Offline
Lepiej i tak czekać na Shumwaya niż Flash Playera ;)
Fervi
Offline
fervi napisał(-a):
Lepiej i tak czekać na Shumwaya niż Flash Playera ;)
Fervi
Bzdura, lepiej na nic nie czekać.
Na połowie serwisów, gdzie "wymagany jest flash" przy braku Flasha, albo zmianie User Agenta na Iphona czy Andka, od razu leci mp4 zamiast Flasha.
Także spokojnie możemy patrzeć, jak Html5 wysyła Flasha i Silverighta na śmietnik historii. ;)
Ostatnio edytowany przez Jacekalex (2014-06-11 20:36:56)
Offline
Jacekalex napisał(-a):
fervi napisał(-a):
Lepiej i tak czekać na Shumwaya niż Flash Playera ;)
FerviBzdura, lepiej na nic nie czekać.
Na połowie serwisów, gdzie "wymagany jest flash" przy braku Flasha, albo zmianie User Agenta na Iphona czy Andka, od razu leci mp4 zamiast Flasha.
Także spokojnie możemy patrzeć, jak Html5 wysyła Flasha i Silverighta na śmietnik historii. ;)
Na razie to tylko czcze słowa - HTML5 nie zagroził na razie nikomu. Uważam, że Shumway to zrobi (który wykorzystuje JS i chyba HTML5) - i tylko w ten sposób
Fervi
Offline
fervi napisał(-a):
Jacekalex napisał(-a):
fervi napisał(-a):
Lepiej i tak czekać na Shumwaya niż Flash Playera ;)
FerviBzdura, lepiej na nic nie czekać.
Na połowie serwisów, gdzie "wymagany jest flash" przy braku Flasha, albo zmianie User Agenta na Iphona czy Andka, od razu leci mp4 zamiast Flasha.
Także spokojnie możemy patrzeć, jak Html5 wysyła Flasha i Silverighta na śmietnik historii. ;)Na razie to tylko czcze słowa - HTML5 nie zagroził na razie nikomu. Uważam, że Shumway to zrobi (który wykorzystuje JS i chyba HTML5) - i tylko w ten sposób
Fervi
Pieprzysz.
Co najmniej 85% albo i więcej filmów na necie jest serwowanych
w locie przez takie narzędzia, jak FlowPlayer, JWPlayer czy Projektorr.
Takich odtwarzaczy napisanych w JS jest może najwyżej 15,
i wystarczy jedna większa aktualizacja połowy z nich, żebyśmy się obudzili w innej rzeczywistości.
Piłeczka z resztą po stronie Google, coraz trudniej znaleźć stronę,
w której organizowaniu nie biorą udziału biblioteki JQuery pobierane wprost z serwerów Google.
I to nie jest żaden śpiew przyszłości, to już się dzieje.
Ostatnio edytowany przez Jacekalex (2014-06-11 21:00:59)
Offline
Jacekalex napisał(-a):
fervi napisał(-a):
Jacekalex napisał(-a):
Bzdura, lepiej na nic nie czekać.
Na połowie serwisów, gdzie "wymagany jest flash" przy braku Flasha, albo zmianie User Agenta na Iphona czy Andka, od razu leci mp4 zamiast Flasha.
Także spokojnie możemy patrzeć, jak Html5 wysyła Flasha i Silverighta na śmietnik historii. ;)Na razie to tylko czcze słowa - HTML5 nie zagroził na razie nikomu. Uważam, że Shumway to zrobi (który wykorzystuje JS i chyba HTML5) - i tylko w ten sposób
FerviPieprzysz.
Co najmniej 85% albo i więcej filmów na necie jest serwowanych
w locie przez takie narzędzia, jak FlowPlayer, JWPlayer czy Projektorr.
Takich odtwarzaczy napisanych w JS jest może najwyżej 15,
i wystarczy jedna większa aktualizacja połowy z nich, żebyśmy się obudzili w innej rzeczywistości.
Piłeczka z resztą po stronie Google, coraz trudniej znaleźć stronę,
w której organizowaniu nie biorą udziału biblioteki JQuery pobierane wprost z serwerów Google.
I to nie jest żaden śpiew przyszłości, to już się dzieje.
Słyszę o dominacji HTML5 od czasów Firefoksa 4 przynajmniej
Youtube na HTML5 dalej nie ogarnia sporej liczby filmów
Gier na Flasha jest ciągle mnóstwo i mnóstwo powstaje
Ciągle nic poza Vimeo, Youtube i paru innych - nie wspiera HTML5
Smutne, ale taka prawda - od wielu lat mamy rok HTML5 :P
Dlatego nie ma co się spinać, tylko czekać na Shumwaya
Fervi
Ostatnio edytowany przez fervi (2014-06-11 21:13:46)
Offline
Poszperaj sobie na necie z User Agentem Iphone, to zobaczysz, ile jest tego flasha.
Android 4.4 i 5.0 też zrywają z Flashem, podobnie, jak Windows 8 na platformę ARM, IOS w ogóle nie ma Flasha.
Ostatnio edytowany przez Jacekalex (2014-06-11 21:31:22)
Offline
4.4 i 5.0 zrywają z Flashem - bo go nie mają.
iPhone nigdy nie miał
Nie wiem jak z Windows RT, bo on Flasha ma - i nie wiem czemu wycofywać się z tego mieliby (nawet Flash Player jest zainstalowany bezpośrednio w systemie MS)
Fervi
Offline
Serwus. Jacku napisałeś, co następuje: "Przy czym mnie to w ogóle nie przejmuje, patrzy wyżej (cały plugin-container w klatce Apparmora), i myślę że więcej ludzi na Gentoo tak ma, Chroot, Apparmor, Selinux, GRSEC-ACL, czy inne dziwadła, które powodują, że Flasha nie trzeba się obawiać. W programach zawsze będą mniejsze i większe dziury, dlatego robi się rożne inne linie obrony, mające chronić przed potencjalnym zagrożeniem ze strony takiego programu, a sam plugin-container w Firefoxie i operapluginwrapper Operze to też są sandboxy dla wtyczek, i też stanowią dodatkową linię obrony. Także nie ma co demonizować Flasha i jego zagrożenia, Gentoo, to nie XP. :D"
Spoko, ale ja pytałem jedynie o datę, kiedy aktualizacja pakietu flashplugin-nonfree była dostępna/opublikowana! Nic więcej. Reszta (np. "myślę że więcej ludzi na Gentoo tak ma, Chroot, Apparmor, Selinux, GRSEC-ACL), jest dla mnie mało istotna, wszakże sam wykorzystuję profil np. dla procesu plugin-container etc. Zresztą, to jest nieważne. :- )
"Także tym razem Developerzy Gentoo byli szybsi od Ciebie xD". - Wiesz Jacku, ja naprawdę z nikim nie współzawodniczę. Myślę, że nie ma najmniejszego powodu, aby to robić. Nie ubierać w formę, nie stwarzać rzeczy, co do których nie ma powodu, by zostały stworzone, prawda? W tym przypadku, nazwijmy to, ściganie się z Deweloperami systemu Gentoo Linuks :- )
Niemniej faktem jest, że (10.go czerwca?) opublikowano kolejną aktualizację pakietu flashplugin-nonfree. Tym razem uaktualnienia wymaga wersja 11.2.202.359. Nowe, poprawione wydanie, oznaczono numerem 11.2.202.378 i zawiera poprawki dla krytycznych luk bezpieczeństwa znalezionych w poprzednich wersjach.
Również pozdrawiam.
Offline
Witam serdecznie. W dniu wczorajszym, tj. 8.my Lipca, Adobe opublikowało kolejną aktualizację bezpieczeństwa dla produktu flashplugin-nonfree. Użytkownicy korzystający z wydania 11.2.202.378 oraz wcześniejszych, powinni zaktualizować wtyczkę flashplugin-nonfree do najnowszej wersji oznaczonej numerem 11.2.202.394. Więcej informacji można znaleźć w oficjalnym biuletynie bezpieczeństwa Adobe: APSB14-17.
Pozdrawiam.
Offline
Powstała potężna aktualizacja Shumwaya
Z wersji 0.8.390 (?) do 0.9.2376
Fervi
Offline
2014-08-12 / UPDATED (11.2.202.394 ===> 11.2.202.400)
[web] contrib/flashplugin-nonfree
KOMENTARZ: Aktualizacja bezpieczeństwa.
Ostatnio edytowany przez remi (2014-08-28 10:30:01)
Offline
Działa u Ciebie ten flash *.400? bo ja z nim mam cyrk na kółkach, w Operze na YT ok, na innych niebieskie pyski, na FF wywala się jak najęty.
Podzielisz się /etc/adobe/mms,cfg do tej wersji?
Już poprawione, zapomniałem poprawić bibliotekę shajsplayera, przez:
perl -pi.bak -e 's/libvdpau/lixvdpau/g' /usr/lib64/nsbrowser/plugins/libflashplayer.so
Nie ma to, jak tandeta od Adobe. xD
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2014-08-13 17:54:30)
Offline
Serwus Jacku. Przepraszam za opieszałość, wynikającą z obowiązków etc., w odpowiedzi na Twój post, a zwłaszcza część odnoszącą się do pliku /etc/adobe/mms.cfg. Cieszę się, że rozwiązałeś problem niebieskich pysków (notabene, bardzo ciekawe określenie), których doświadczyłeś wraz z wersją 11.2.202.400 wtyczki od Adobe. Niemniej, nie byłbym w stanie pomóc Ci, wszakże nie korzystam z w/w pliku; po prostu, wszystko działa od ponad dwóch lat, czyli od czasu, kiedy bliżej poznałem tandem Wheezy/Sid. Co dziwne, nigdy nie miałem - i wciąż nie doświadczam - żadnych komplikacji, łamigłówek, czy kłopotów spowodowanych aktualizacją Flash'a do kolejnej wersji. Myślę, że takich czarów nie należy traktować obojętnie :- )
Pozdrawiam.
Offline
Ja sobie zrobiłem taki plik w oparciu o dokumentację: http://pastebin.com/j3CMN1LY .
Offline
Cześć Morfik. Dzięki za podanie zawartości pliku /etc/adobe/mms.cfg, dzięki któremu możemy egzekwować, między innymi, pewne - nazwijmy to - globalne konfiguracje dot. zabezpieczeń i prywatności. Wydaje się, że Flash Player, po prostu odczytuje ustawienia z tego pliku, i używa ich do zarządzania w/w funkcjonalnością etc., prawda? Korzystałeś z tego poradnika; flash player 11.2 admin guide?
Pozdrawiam serdecznie.
Offline
To są globalne ustawienia flasha i żaden user ich nie może zmienić, np. przez przeglądarkę czy inne ustawienia systemowe. Jeśli np. wyłączysz w nim download/upload plików to część serwisów www, które mają zaimplementowane przesyłanie plików (via flash) do serwera, przestaną zwyczajnie działać, przynajmniej ta funkcjonalność. xD Możesz sobie dodawać wyjątki itp, co tylko tam chcesz.
Tam w pliku umieściłem link do dokumentacji -- w sumie to sporo było ctrl+c i ctrl+v tylko odpowiednio przeformatowane i dostosowane do moich potrzeb. Póki co stronki wszystkie mi działają, nawet pornusy. xD
Offline
Cześć. Okay Morfik dzięki za informacje. Słuchajcie, pojawiła się kolejna aktualizacja bezpieczeństwa dot. Flash Player'a. Ze względu na wczorajsze problemy z dostaniem się na portal dug.net.pl, stosowne info zamieszczam dopiero w dniu dzisiejszym. A więc oficjalny komunikat, na stronie Adobe, pojawił się w dniu 9.go września:
2014-09-09 / UPDATED (11.2.202.400 ===> 11.2.202.406)
[web] contrib/flashplugin-nonfree
IDENTYFIKATOR LUKI: APSB14-21
KOMENTARZ: Aktualizacja bezpieczeństwa
Pozdrawiam serdecznie.
Offline
Strony: ◀ 1 … 6 7 8 9 10 … 15 ▶