# nvidia Treiber + Sicherheitsloch

## xraver

Da haben wir den Salat ;(.

http://www.heise.de/newsticker/meldung/79572 ..auch wenn die Headline etwas daneben ist.

----------

## hoschi

<ich bin nicht an religioes interessiert, aber>

Kleine Suenden straft Gott sofort, grosse erst spaeter  :Very Happy: 

btw. Neue Linux-User Sorte: NDISWRAPPERSCHLAMPEN

----------

## Finswimmer

Dann einfach ein Update auf die 9**** Serie? Ich nutze die schon länger...

Oder haben die das da auch?

Tobi

----------

## fangorn

Wurde im Artikel nicht explizit erwähnt. Aber es wird gemunkelt dass der fehler darin nicht vorhanden ist.

Es geht ein Workaround durch das NVIDIA Forum.

"RenderAccel" "Off" in xorg.conf   :Rolling Eyes: 

Angeblich soll der Fehler auch von erlaubtem Netzwerkzugriff auf den Xserver abhängen. 

Alles nicht selbst verifiziert  :Rolling Eyes: 

----------

## Thargor

 *hoschi wrote:*   

> Kleine Suenden straft Gott sofort, grosse erst spaeter 

 

Jep, dauert ziemlich genau 9 Monate  :Very Happy: 

(Schamlos geklaut von: http://german-bash.org/2541 )

----------

## Klaus Meier

Die neuen Beta sollen den Fehler nicht haben. Und die machen Null Probleme.

----------

## tost

Nur kann es ja nicht der Sinn sein sich deshalb unstabile Pakete zu installieren  :Wink: 

Der Logik halber sollte es doch auch im stabilen Zweige bald behoben werden...

----------

## xraver

 *tost wrote:*   

> Nur kann es ja nicht der Sinn sein sich deshalb unstabile Pakete zu installieren 
> 
> 

 

Unter windows war man es gewohnt BetaTreiber zu verwenden, sei es aus Performance gründen oder weill ein Game ne Macke hatte und gfx-Fehler zauberte.

Ich persöhnlich habe nix gegen Beta-Treiber.

----------

## moe

Immer diese Panikmacherei..

Klar ist es eine Sicherheitslücke, aber wenn ich das Exploit richtig gelesen habe (seitdem Heise auf Bildniveau gesunken ist, findet man da ja keine technischen Details mehr, nur tolle Überschriften), benötigt das "böse Individuum" lokalen Zugriff auf den Rechner. Und auf dem Rechner muss ein X-Server mit nvidia-Treiber laufen.

Rechner mit laufenden X-Server und nvidia-Karte und -Treiber sind wohl eher in die Kategorie Dektop Einzelplatzrechner einzustufen. Rechner mit ssh-Zugriff für mehr Leute als den besten Kumpel, sind wohl eher Server die irgendwo ohne Monitor und ohne laufenden X-Server rumstehen.

Ausser dass jetzt wieder mehr Leute (berechtigt) gegen Blobs Stimmung machen, passiert also nichts.. Nvidia wird die Lücke irgendwann schliessen, und war sich schon davor bewusst, dass solche Sachen verhindert werden könnten, wenn der nvidia-Treiber offen ist. Trotzdem werden sie ihn auch jetzt nicht offenlegen, und spätestens wenn der neue Treiber das Betastadium verlässt, reden alle nur noch darüber das AIGLX toll ist, und nvidia toll ist.

Gruss Maurice

----------

## xraver

 *moe wrote:*   

> Immer diese Panikmacherei..

 

also ich mach mir schon etwas sorgen wenn ich lese das z.b eine manipulierte website über fonts fremden Code einschleusen kann.

----------

## schachti

Richtig, eine manipulierte Website reicht aus, da braucht man keinen lokalen Zugang zum Rechner. Eigentlich ist so eine Lücke doch ein Grund, die betroffenen Treiber hard zu maskieren...

----------

## moe

Achso, dann ist das was anderes.. Dann hab ich das Exploit wohl nicht gründlich genug gelesen..

----------

## Carlo

 *Thargor wrote:*   

>  *hoschi wrote:*   Kleine Suenden straft Gott sofort, grosse erst spaeter  
> 
> Jep, dauert ziemlich genau 9 Monate 
> 
> (Schamlos geklaut von: http://german-bash.org/2541 )

 

Treffen sich zwei Planeten. Sagt der eine: "Mir geht's schlecht, ich habe Menschen." Sagt der andere: "Keine Sorge, das geht vorüber." (alt, aber paßt gerade so schön)

Zeit ist halt relativ...  :Wink: 

Zum Thema: Es ist wieder mal zum Kotzen! Eine Firma sitzt wissentlich _jahrelang_ auf einem Bug, der ein fettes Loch in die Desktops der Kundschaft reißt, und als Reaktion auf die Veröffentlichung wird quasi nebenbei erklärt: "Ach ja, das ist in unserer aktuellen Beta-Software gefixt..."

Für mich ist das der letzte Anstoß, Produkte dieser Firma künftig zu meiden.

----------

## hoschi

Ich meide grundsaetzliche Produkt die keine quelloffenen Treiber haben   :Mr. Green: 

----------

## Treborius

 *Carlo wrote:*   

>  *Thargor wrote:*    *hoschi wrote:*   Kleine Suenden straft Gott sofort, grosse erst spaeter  
> 
> Jep, dauert ziemlich genau 9 Monate 
> 
> (Schamlos geklaut von: http://german-bash.org/2541 ) 
> ...

 

schön ist das natürlich nicht, aber ich sehe kaum alternativen, 

denn ati hat sich mit ihren treiber auch nicht gerade mit ruhm bekleckert,

soll ich nun alles meiden und nurnoch opensource-treiber verwenden?

(die mies sind, weil die devs nicht die specs für die hardware bekommen, imho)

soll keine kritik an deinem post sein, nur ein gedankenanstoss,

btw, danke für den spruch, den kannte ich noch nicht

----------

## schachti

 *Treborius wrote:*   

> 
> 
> soll ich nun alles meiden und nurnoch opensource-treiber verwenden?
> 
> (die mies sind, weil die devs nicht die specs für die hardware bekommen, imho)
> ...

 

Die sind nicht mies - Ihnen fehlt nur die 3D-Beschleunigung. Die Stabilität und 2D-Leistung der OS-Treiber dürfte hingegen besser sein als die Closed-Source-Treiber von ATI und NVIDIA.

----------

## UncleOwen

 *Carlo wrote:*   

> Zum Thema: Es ist wieder mal zum Kotzen! Eine Firma sitzt wissentlich _jahrelang_ auf einem Bug, der ein fettes Loch in die Desktops der Kundschaft reißt, und als Reaktion auf die Veröffentlichung wird quasi nebenbei erklärt: "Ach ja, das ist in unserer aktuellen Beta-Software gefixt..."
> 
> Für mich ist das der letzte Anstoß, Produkte dieser Firma künftig zu meiden.

 

Woher hast Du das mit dem wissentlich?

----------

## psyqil

 *UncleOwen wrote:*   

> Woher hast Du das mit dem wissentlich?

 Das war wohl ein Mißverständnis:

 *nVidia wrote:*   

> There is some confusion between this NVIDIA driver bug and a previously fixed core XFree86/X.Org server bug.  This confusion mistakenly led the security advisory to the conclusion that the NVIDIA driver bug was reported and known as early as 2004.

 

----------

## Carlo

 *UncleOwen wrote:*   

> Woher hast Du das mit dem wissentlich?

 

Da bin ich in der Tat etwas zu voreilig gewesen. Wenn man die im Advisory angegeben Links verfolgt, muß man davon ausgehen, daß Nvidia mindestens seit April diesen Jahres von dem Bug weiß. Aber das ist eh unerheblich. Die Tatsache, daß bei so einem Bug nicht sofort ein neues Release und eine entsprechende Verlautbarung herausgegeben wurde, zeugt von fehlendem Sicherheits- und Verantwortungsbewußtsein.

----------

## Klaus Meier

Ist gerade ein neuer Treiber im Portage.

----------

