Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"10 уязвимостей в GStreamer, приводящих к удалённому выполнению кода "	+/–
Сообщение от opennews (??), 11-Мрт-26, 12:10
В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 10 уязвимостей, все из которых помечены как допускающие удалённое выполнение кода при обработке некорректно оформленных мультимедийных данных в форматах AVI, RTP, H.266, JPEG, ASF, RealMedia и RIFF, а также субтитров DVB-SUB. Двум проблемам присвоен уровень опасности 8.8 из 10, а остальным 7.8. Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64964
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+5 +/–
Сообщение от Аноним (1), 11-Мрт-26, 12:10
Благодаря нейронкам в 2026 ожидайте тысячи реальных уязвимостей в опен-сорс софте - нейронки уже умеют слишком хорошо находить их.
Ответить | Правка | Наверх | Cообщить модератору

	2. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+2 +/–
	Сообщение от Аноним (2), 11-Мрт-26, 12:14
	И скоро смогут заменить Jia Tan'а ;)
	Ответить | Правка | Наверх | Cообщить модератору

	9. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	–1 +/–
	Сообщение от Аноним (9), 11-Мрт-26, 12:36
	Наконец-то появились те мифические 1000 глаз, безустанно сканирующих открытый код на предмет ошибок и уязвимостей.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	18. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (18), 11-Мрт-26, 12:52
	Даже если он искусственны.
	Ответить | Правка | Наверх | Cообщить модератору

4. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+3 +/–
Сообщение от Аноним (4), 11-Мрт-26, 12:19
> Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению. Как сказали в соседней новсти об уязвимости в Pingora, "если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить". Whait, oh shi... 😳
Ответить | Правка | Наверх | Cообщить модератору

	11. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	–1 +/–
	Сообщение от Аноним (11), 11-Мрт-26, 12:39
	Тут: 8.8, 7.8... Раст: 9.3 из 10
	Ответить | Правка | Наверх | Cообщить модератору

	16. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	–2 +/–
	Сообщение от Аноним (16), 11-Мрт-26, 12:51
	Там 3 штуки, тут 10 штук. Там нужно лезть на какой-то сайт, тут запустить файлик локально. Где тут любитель "зеленого магазина"? Оба хороши...
	Ответить | Правка | Наверх | Cообщить модератору

	25. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (25), 11-Мрт-26, 13:34
	>Там 3 штуки, тут 10 штук. Вы неправильно считаете. Нужно смотреть не на количество уязвимостей, выявленных за раз, а на их суммарное количество. В GStreamer постоянно находят уязвимости, связанные с управлением памятью.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (28), 11-Мрт-26, 13:50
	Неверное вычисление размера пакета, после чего другой! backend криво обработал запрос - 9.3 балла. Исполнение произвольного кода при открытии JPEG картинки - 7.8 баллов. Брава! =)
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

5. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+1 +/–
Сообщение от Аноним (5), 11-Мрт-26, 12:23
> уязвимостей, все из которых помечены как допускающие удалённое выполнение кода Бгг, вы там на модных языках городите всякие IPC/RPC механизмы, а в сишечке это вон прямо из коробки есть.
Ответить | Правка | Наверх | Cообщить модератору

	13. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (13), 11-Мрт-26, 12:43
	Ахаха 😁😁😆 Надо запомнить эту шутку
	Ответить | Правка | Наверх | Cообщить модератору

6. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	–1 +/–
Сообщение от Аноним (6), 11-Мрт-26, 12:25
FFMPEG only
Ответить | Правка | Наверх | Cообщить модератору

	10. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+3 +/–
	Сообщение от Аноним (10), 11-Мрт-26, 12:38
	Ломает совместимость и рассыпается раз в месяц. Кроме того, там такой кадавр, что найти подобные баги в нём не в пример сложнее (а их там есть, и намеренные, и нет).
	Ответить | Правка | Наверх | Cообщить модератору

	15. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (15), 11-Мрт-26, 12:50
	> Ломает совместимость и рассыпается раз в месяц. А нечего его дёргать через библиотеки, вопреки идеологии UNIX.
	Ответить | Правка | Наверх | Cообщить модератору

	20. Скрыто модератором	+2 +/–
	Сообщение от Аноним (20), 11-Мрт-26, 12:57
	А простите "идеологии UNIX" это как? Писать креп рассыпающийся от малейшего чиха?
	Ответить | Правка | Наверх | Cообщить модератору

	27. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (4), 11-Мрт-26, 13:49
	>> FFMpeg > А нечего его дёргать через библиотеки, вопреки идеологии UNIX. Шта? А как видеоплееры могут использовать ffmpeg не через библиотеку?
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	23. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (23), 11-Мрт-26, 13:30
	>Ломает совместимость В пределах одной мажорной версии ничего не ломается, даже бинарная совместимость сохраняется. А переезд 7.1 - 8.0 так вообще прошёл без проблем. > баги в нём не в пример сложнее После кода гстримера там код читается как букварь.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

7. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	–2 +/–
Сообщение от Аноним (16), 11-Мрт-26, 12:32
> выявлено 10 уязвимостей > восемь приводят к записи данных за пределы буфера > две к целочисленному переполнению Ни одной, ни одной уязвимости без проблемы с памятью! И все позволяют выполнить произвольный код... прям какая-то жесть.
Ответить | Правка | Наверх | Cообщить модератору

	12. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (11), 11-Мрт-26, 12:40
	https://www.opennet.me/opennews/art.shtml?num=64957
	Ответить | Правка | Наверх | Cообщить модератору

	14. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (13), 11-Мрт-26, 12:47
	Вы ту новость-то читали? Там логические ошибки, можно сказать программисты if забыли написать вот и уязвимость. А тут дыры в самых базовых вещах.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (17), 11-Мрт-26, 12:51
	А в итоге разницы нет.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (25), 11-Мрт-26, 13:36
	Разница есть. Наличие проблем с управлением памятью никак не исключает количество логических ошибок, а суммируется с ним.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (16), 11-Мрт-26, 12:52
	Отличный наброс из серии "а у вас негров линчуют". Чтобы получить проблему там - нужно еще постараться. А тут нужно просто кинцо с торрента скачать.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	22. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (22), 11-Мрт-26, 13:15
	Забавно. Тут смотрелка, которая может специально подготовленными файлами закрешить программу локального пользователя. Там система гарантирующая безопасную доставку контента позволяет его подменить. То есть, как вариант, послать деньги не туда. Что же из этого хуже?
	Ответить | Правка | Наверх | Cообщить модератору

	24. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (-), 11-Мрт-26, 13:31
	> Забавно. Тут смотрелка, которая может специально подготовленными файлами закрешить программу локального пользователя. Таки закрешить или выполнить произвольный код?)) Или у фанатов дыpяшки "... все из которых помечены как допускающие удалённое выполнение кода при обработке некорректно оформленных мультимедийных данных..." теперь называется закрешить? > Там система гарантирующая безопасную доставку контента позволяет его подменить. То есть, как вариант, послать деньги не туда. "Проблемы проявляются при использовании Pingora в форме обратного прокси (ingress proxy), ... Применяемая в сети доставки контента Cloudflare конфигурация Pingora не позволяла эксплуатировать уязвимости, так как Pingora в CDN не используется в роли ingress-прокси " Ну т.е саму Cloudflare это не коснулось, а возможно пострадали  ̶б̶е̶с̶п̶л̶а̶т̶н̶ы̶е̶ ̶б̶е̶т̶а̶т̶е̶с̶т̶е̶р̶ы̶ любители халявы. > Что же из этого хуже? Думаю первое. Т.е с торрентов качается много видео, скорее всего дырки уже используются. Второе тоже очень плохо, но реализация сложнее и обычных пользователь от этого пострадает с меньшей вероятностью.
	Ответить | Правка | Наверх | Cообщить модератору

8. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
Сообщение от Аноним (8), 11-Мрт-26, 12:33
H.266 - на дидов не сопрешь :)
Ответить | Правка | Наверх | Cообщить модератору

21. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
Сообщение от Аноним (17), 11-Мрт-26, 13:14
Это как надо навайбкодить чтобы при отрисовке ЖПЕГ запускался произвольный код.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема