Серия новых уязвимостей, информация о которых раскрыта в последние несколько дней:

-  Уязвимость (http://openwall.com/lists/oss-security/2017/12/15/1) (CVE-2017-17670) в мультимедийном проигрывателе VLC, вызванная некорректным приведением типов и потенциально способная привести к выполнению кода при распаковке специально оформленных файлов в формате MP4. Проблема пока исправлена только в экспериментальных ветке  HEAD;

-  Уязвимость (https://doc.powerdns.com/authoritative/security-advisories/p...) в PowerDNS Recursor, позволяющая инициировать крах процесса при обработке ответа DNS-сервера, содержащим некорректное значение поля CNAME. Проблема проявляется только в ветке 4.0.x и устранена в обновлении 4.0.8;

-  Уязвимость (https://jenkins.io/security/advisory/2017-12-14/) в системе непрерывной интеграции Jenkins, вызванная состоянием гонки в процессе выполнения команд инициализации при запуске, из-за чего могут быть не выставлены некоторые важные ограничения, необходимые для обеспечения безопасности, и вовремя не включена защита от CSRF-атак.
Проблема устранена в выпусках Jenkins 2.95 и 2.89.2;

-  Четыре (https://xenbits.xen.org/xsa/) новые уязвимости в гипервизоре Xen, позволяющие гостевому окружению получить доступ (https://xenbits.xen.org/xsa/advisory-248.html) к внутренним страницам памяти гипервизора, вызвать (https://xenbits.xen.org/xsa/advisory-251.html) крах гипервизора и  поднять (https://xenbits.xen.org/xsa/advisory-250.html) свои привилегии (https://xenbits.xen.org/xsa/advisory-249.html);
-  В модуле Net::FTP, поставляемом в базовом наборе языка Ruby, устранена (https://www.ruby-lang.org/en/news/2017/12/14/net-ftp-command.../) уязвимость (CVE-2017-17405), позволяющая выполнить произвольных shell-код через указание имени файла, начинающегося с символа "|". Проблема устранена в выпусках Ruby  2.3.6 и 2.2.9;

-  В RTCP-стеке коммуникационной платформы  Asterisk исправлена (https://www.mail-archive.com/asterisk-announce@lists.di...) уязвимость, позволяющая без аутентификации вызвать крах серверного процесса через отправку специально оформленного RTCP-пакета. Проблема устранена в выпусках Asterisk 13.18.4, 14.7.4, 15.1.4;
-  В пакете GraphicsMagick устранено 29 уязвимостей (http://openwall.com/lists/oss-security/2017/12/10/6), в основном связанных с переполнением буфера при обработке различных форматов.
Проблема устранена в GraphicsMagick 1.3.27;

-  В Apache Synapse устранена удалённо эксплуатируемая уязвимость (https://commons.apache.org/proper/commons-collections/securi...) (CVE-2017-15708), которая может привести к выполнению кода на сервере через подстановку специально оформленных сериализированных объектов. Проблема устранена в выпуске Apache Synapse 3.0.1, а также в Apache Commons Collections 3.2.2 и 4.1;

-  В Apache Fineract исправлена (http://openwall.com/lists/oss-security/2017/12/13/1) возможность подстановки SQL-кода (CVE-2017-5663) через отправку специально оформленного параметра sqlSearch в  REST-запросе (например, "https://DomainName/api/v1/clients?sqlSearch=or (1==1)").  Проблема устранена в выпуске Apache Fineract 1.0.0.

URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=47754

• Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 00:04 , 17-Дек-17
• Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 00:25 , 17-Дек-17
  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 00:31 , 17-Дек-17
  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Борщдрайвен бигдата, 02:34 , 17-Дек-17
• Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,optical character recognition, 01:00 , 17-Дек-17
  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Борщдрайвен бигдата, 02:30 , 17-Дек-17
  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,key, 06:33 , 17-Дек-17
  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 10:02 , 17-Дек-17
  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 12:46 , 17-Дек-17
• Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 02:37 , 17-Дек-17
  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 09:59 , 17-Дек-17
    • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 10:04 , 17-Дек-17
      • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 10:55 , 17-Дек-17
      • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,anonymous, 10:56 , 17-Дек-17
      • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 11:42 , 17-Дек-17
        • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 14:29 , 17-Дек-17
          • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 15:40 , 17-Дек-17
            • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 17:47 , 17-Дек-17
              • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Анонимм, 19:13 , 17-Дек-17
                • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,paulus, 23:20 , 17-Дек-17
                  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Анонимм, 01:21 , 18-Дек-17
                    • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Ю.Т., 08:21 , 18-Дек-17
                      • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Анонимм, 18:28 , 18-Дек-17
                        • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Ю.Т., 18:46 , 18-Дек-17
                  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 14:48 , 18-Дек-17
              • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 17:47 , 18-Дек-17
            • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 14:47 , 18-Дек-17
              • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 17:50 , 18-Дек-17
                • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 10:39 , 19-Дек-17
  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,0x0, 00:15 , 18-Дек-17
    • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Шварцнигер, 01:34 , 18-Дек-17
      • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,0x0, 04:41 , 18-Дек-17
        • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,АНоним, 10:04 , 18-Дек-17
          • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,0x0, 21:06 , 18-Дек-17
        • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,guitar ehro, 11:20 , 18-Дек-17
          • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,кверти, 19:10 , 18-Дек-17
          • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,0x0, 21:13 , 18-Дек-17
          • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,0x0, 22:14 , 18-Дек-17
• Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 13:58 , 17-Дек-17
• Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Андрей, 17:52 , 17-Дек-17
  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 18:25 , 17-Дек-17
  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Меломан1, 19:30 , 17-Дек-17
    • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 11:21 , 18-Дек-17
  • Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, Gr...,Аноним, 14:50 , 18-Дек-17

Apache прекрасен:

Reported to security team    02 April 2017
Update Released                    01 Jun 2017
Issue public                    13 December 2017

ImageTragick ничему не научил?
Помнится, GM именно из-за него форкнули...

Ага, предвидели. За 15 лет.

Не совсем так. В ряд причин для форка вошли и разногласия с подходом к разработке, и желание зафиксировать ряд фич, работающих быстро (вместо встраивания в библиотеку всего что только можно).
Ну и на то время IM по памяти очень сильно протекал.

Жизнь курильщика без Раста.

Хватит. Слишком толсто.
Rust сам по себе не «серебряная пуля», как и другой, произвольно взятый язык. Даже с гарантиями безопасности в самом языке можно отстрелить себе не то, что ноги, но и яйца.

Pro tip: на следующий раз лучше набросить не про Rust, а про формальную верификацию.

Чз как этот ваш раст, руки не дошли еще, да мозилла онли отпугивает.
Но сейчас бы взять софт с древними корнями времен делфи и сравнивать его с новосозданными поделками на пару строчек, а потом говорить что раст круче.
Так и калькулятор на С++98 от страуструпа не утекал.

Несомненно, раст поможет рубистам от имен файлов начинающихся с | :)

"Зато в Руби нет уязвимостей, там же нет указателей и память регулируется VM!!!11" - говорили они. Тоже самое и с твоим растом.

Теперь VLC теперь не только MKV в квадраты крошит...

Ну справедливости ради, демуксеры потока, да и декодеры - это поле непаханное багов, в том числе и уязвимостей. Тут бы регулярный fuzzing сильно раскрыл глаза.
Но да, видео смотреть только через mpv.

> Ну справедливости ради, демуксеры потока, да и декодеры - это поле непаханное
> багов, в том числе и уязвимостей. Тут бы регулярный fuzzing сильно раскрыл глаза.

Так фуззят. Но форматов много и они сложные, так что сюрпризы иногда будут, увы.

> Но да, видео смотреть только через mpv.

Да нахрен эту хипстоту. На него к тому же вроде как подзабили авторы.

> Да нахрен эту хипстоту.

WHAT?!
> На него к тому же вроде как подзабили авторы.

Ага, последний коммит аж вчера.

>> Но да, видео смотреть только через mpv.
>Да нахрен эту хипстоту. На него к тому же вроде как подзабили авторы.

Коммиты каждый день не похоже на "подзабили": https://github.com/mpv-player/mpv/commits/master

> Да нахрен эту хипстоту. На него к тому же вроде как подзабили авторы.

Подзабили разве что на тебя.

> Подзабили разве что на тебя.

Я не сильно расстроен, мне плеер с чокнутой билдсистемой не требуется.

А-а-а, так тебе пособирать…

> А-а-а, так тебе пособирать…

Ну как бы да, возможность сборки - одно из основных требований к софту. Даже более важное, чем отсутствие багов или низкая производительность и высокая ресурсоёмкость.

Но вы можете продолжать сидеть на винде, где о сборке слышали лишь то, что она где-то существует.

-- другой аноним

>> А-а-а, так тебе пособирать…
> Ну как бы да, возможность сборки - одно из основных требований к
> софту. Даже более важное, чем отсутствие багов или низкая производительность и
> высокая ресурсоёмкость.

Что-то вас не туда понесло. Вы уж определитесь - принципиальная возможность сборки или именно религиозно верная, плюс возможность "осиляния" любым Васяном?

Могу сказать, что МPV cобирается вполне себе без особых танцев с бубном.
Ну да, WAF на питоне, тут да, пацаны из соседнего района могут и не понять!

Но во-первых, как по мне, так как раз производительность или фишки могут уравновешивать неудобства сборки. Хорошую софтину можно и самостоятельно опакетить или билдокружение под нее сделать или там патчик авторам в сборочный скриптик отослать.

Во-вторых: mpv у меня ютубчик и прочее кинцо через интереты открывает. Это не только почти во всем удобнее вебовских недоплееров, но и жрет заметно меньше ресурсов.
Однако, реализовано это в виде взаимодействия с youtube-dl, который тоже на питоне.
Я понимаю, это не труЪ, но ничего не могу поделать - расслабиться и наслаждаться видео в браузере у меня просто не получается, а альтернатив mpsyt, youtube-dl и прочим почему-то, несмотря на обилие критиков и знающих "как нужно правильно", увы не наблюдается.

> mpv жрет заметно меньше ресурсов

mplayer меньше ;)

>> mpv жрет заметно меньше ресурсов
> mplayer меньше ;)

А ютуб и прочее к нему _нормально_ прикрутить можно?

ну я так понял, что и к mpv ютуб не прикручен, а наоборот, mpv прикручен к качалке видео?

> ну я так понял, что и к mpv ютуб не прикручен, а наоборот, mpv прикручен к качалке видео?

Нет, прикручено взаимодействие mpv с качалкой. Видео играть будет и без качалки. Да и собрать можно, отключив поддержку.
А выражается прикрутка той же возможностью нормальной промотки вперед/назад (что через простую склейку пайпом несколько затруднительно).

Ну и на самом деле там не только ютуб, а еще туева куча сервисов. Можно ютуб скормить, но и тот же https://www.fsf.org/blogs/community/user-liberation-watch-an... или https://www.1tv.ru/news/2017-12-18/338100-tsik_provel_pervoe...
проигрываются влет.
Совмещаем с горячей клавишей в ВМ и плюем с высокой колокольни на всякие чудесатости и непотребства "веб-дизайгнеров".

> Нет, прикручено взаимодействие mpv с качалкой. Видео играть будет и без качалки.
> Да и собрать можно, отключив поддержку.
> А выражается прикрутка той же возможностью нормальной промотки вперед/назад (что через
> простую склейку пайпом несколько затруднительно).

В общем, что-то не очень я понял (а mpv вообще ни разу не использовал). Я бы прочёл про это всё (что сделано, как, может, примеры скриптов и конфигов). Просмотр видео в ФФ напрягает, а брейв пока как-то непривычен.

> mplayer меньше ;)

И пересобирается проще, без каких-то там левых WAFель.

> Но вы можете продолжать сидеть на винде

Не могу. Потому как не сижу.
Впрочем, если человек ниасилил ./bootstrap.py && ./waf configure && ./waf && ./waf install, это его половые трудности.

>  А-а-а, так тебе пособирать…

В том числе и это. Знаешь, не надо мне на машине дырявую самбу, например. А майнтайнеры вот считали что качать с windows shares видео - это круто, и собрали с ней. Я их мнение по этому поводу не разделяю.

В чем проблема написать (e|pkg)guild?

> В чем проблема написать (e|pkg)guild?

Не понял, в чью гильдию писать? Может лучше сразу в ООН?

Специально только-что .mkv запустил, но (даж и не знаю, к радости это или сожалению) кроме пикселей никаких квадратов больше не обнаружилось.

Было бы странно, если бы 100% mkv рипов, запущенных на VLC сыпались в квадраты, не находишь? Тогда бы этим плеером никто бы не пользовался. Но то что 30% всех HD mkv рипов он сыплет в квадраты - это факт. Платформонезависимая "фича", которая тянется десятилетие. На форуме накопился вагон и маленькая тележка баг-репортов по этой теме, да только воз и ныне там.

Так, это может быть проблемой и самих рипов (или программ, в которых они создавались), а не плеера, не находишь?

Если в mpv работает, а в vlc это "может проблема рипов", то у юзера есть 2 варианта: жрать кактус или таки использовать mpv.

Что ж... раз уж тележка баг-репортов десятилетие тянется, то остаётся только сделать вывод, что никого не волнует, что по этой теме станут использовать что-то другое :)

Смотрю по фильму каждый день, VLC не может нормально половину рипов, а SMP может. Да - это проблема рипов, лол.

да, я архивирую и распаковываю файлы в архив формата .blabla, а твой архиватор это не может. проблема твоего архиватора.

Лично я в VLC смотрю только стриминговые сервисы. Для локального просмотра, на мой вкус плееры и с более удобными интерфейсами есть. Что касается 'рекламируемого' всеми нападающими на VLC MPV - вообще никогда им не пользуюсь :)

> не может нормально половину рипов

Тоесть, получается, что одна 'половина' файлов чем-то от другой таки отличается.

Правду говорили рубисты - очень удобный язык. Не надо составлять хитрые последовательности байтов, просто зафигачил пайп вместо имени - и всё работает.

И снова VLC. Про уязвимости в mplayer и mpv слышно меньше. А возможностей у последнего не особо меньше.

накомпиляют софта, а потом делают праздник из каждого cve

>VLC v.3

К маю месяцу зарелизят. Нытики посмотрят свою мангу в Debian. Все настоящие пацаны уже будут юзать V4.

Что за набор букв ты написал?

> И снова VLC. Про уязвимости в mplayer и mpv слышно меньше. А
> возможностей у последнего не особо меньше.

Им пользуются меньше, вот и весь скерет. VLC понимаешь ли 100M даунлоадов в андроид сторе срубил. И вот эти 100М - интересная мишень. В отличие от горстки линуксоидов довольных консолью, половина поди еще и с дебагером наперевес, так что профит у ботнетчиков будет недолгим.