The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Представлена техника совершения DoS-атаки через отправку PNG..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от opennews on 03-Сен-15, 21:14 
Исследователи безопасности обратили внимание (https://www.bamsoftware.com/hacks/deflate.html) на возможность создания PNG-файлов, при распаковке съедающих всю доступную память. Определённый набор настроек в заголовке в сочетании с особенностями распаковки нулевых областей при использовании метода сжатия DEFLATE (каждая пара бит может кодировать 258 нулевых байт) позволили создать PNG-изображение размером 6 Мб (в форме bzip-архива (https://www.bamsoftware.com/bzr/deflate/spark.png.bz2) 420 байт), которое распаковывается в картинку 50 гигапикселей (225000 × 225000), которая в раскладке 3 байта на пиксель потребует для своей обработки буфера  в 141.4 Гб.


Как правило, попытка открытии такой картинки в приложениях или браузере приводит к завершению процесса из-за исчерпания доступной памяти. В качестве примеров атак отмечается подстановка данной картинки на сайт в качестве изображения favicon.ico, открываемого браузером по умолчанию, или загрузка в  online-сервисы в качестве аватара для инициирования сбоев скриптов обработки изображений. Потенциально атака может быть осуществлена и для других типов контента, в которых используется метод сжатия DEFLATE.

URL: https://news.ycombinator.com/item?id=10158529
Новость: http://www.opennet.dev/opennews/art.shtml?num=42905

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Представлена техника совершения DoS-атаки через отправку PNG..."  –2 +/
Сообщение от Совесть on 03-Сен-15, 21:14 
Safari спокойно отобразил картинку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Представлена техника совершения DoS-атаки через отправку PNG..."  +2 +/
Сообщение от Аноним (??) on 03-Сен-15, 22:52 
> Safari спокойно отобразил картинку.

И что на ней?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

30. "Представлена техника совершения DoS-атаки через отправку PNG..."  +46 +/
Сообщение от Аноним (??) on 04-Сен-15, 00:15 
Моя бывшая массой 140кг.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

86. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Вареник on 05-Сен-15, 03:49 
Ужас!
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

43. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от soarin (ok) on 04-Сен-15, 04:40 
Чёрный квадарат.
Хотя вполне возможно, что safari просто сжульничал и не стал рендерить картинку без всяких оповещений (такое поведение я за ним замечал на больших объёмах информации)
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

89. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от anonymous (??) on 05-Сен-15, 09:23 
Это не жульничество, а элементарная проверка исходных данных перед распаковкой. Очень сильно разочаруюсь в разработчиках других браузеров, если такой проверки у них нет
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

94. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 06-Сен-15, 00:54 
> Это не жульничество, а элементарная проверка исходных данных перед распаковкой. Очень сильно
> разочаруюсь в разработчиках других браузеров, если такой проверки у них нет

Нежульничество - написать "не хочу распаковывать большую картинку", или хотя бы "не покажу, плохая картинка", как это сделал firefox.

А показывать черный квадрат - это жульничество, юзеры подумают, что браузер нормально открыл картинку и на ней черный квадрат. Собственно, так они и подумали, см.выше.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

20. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Crazy Alex (ok) on 03-Сен-15, 23:33 
как ни странно, завалявшаяся опера 12 тоже. А вот современний seamonkey и gqview просто выругались, что image contains errors
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 03-Сен-15, 23:51 
И что она показала? Там на картинке надпись есть. И мне интересно, какие программы осилят её показать.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

35. "Представлена техника совершения DoS-атаки через отправку PNG..."  +2 +/
Сообщение от Гость (??) on 04-Сен-15, 01:22 
Есть комментарии ( https://sohabr.net/gt/post/261276/#comment_8761792 ) что Microsoft Picture Manager и Adobe Photoshop CC 2015 успешно открывают.
А показана там надпись на синем фоне - "Sorry, our princess is in another pixmap"
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

63. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Crazy Alex (ok) on 04-Сен-15, 13:00 
Не пролистывал
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

25. "Представлена техника совершения DoS-атаки через отправку PNG..."  +2 +/
Сообщение от Аноним (??) on 03-Сен-15, 23:53 
Скриншот сафари с открытой картинкой в студию!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

48. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 07:53 
https://www.dropbox.com/s/s9fvdp9ot4pat4f/Screenshot%20...
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

66. "Представлена техника совершения DoS-атаки через отправку PNG..."  +4 +/
Сообщение от Аноним (??) on 04-Сен-15, 14:06 
> https://www.dropbox.com/s/s9fvdp9ot4pat4f/Screenshot%20...

Сафари читит! Вместо картинки чорный квадрат показывает. Наверняка Малевич проплатил.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

78. "Представлена техника совершения DoS-атаки через отправку PNG..."  –1 +/
Сообщение от Аноним (??) on 04-Сен-15, 18:12 
> Наверняка Малевич проплатил.

Угу, с того света. По курсу 30-тых.
Творчеством Малевича конечно восхищаться далеко не обязательно, но не знать банальнейших вещей (типа, что это далеко не наш современник) ...
Стыдно, не?

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

80. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 22:06 
> Угу, с того света. По курсу 30-тых.
> Творчеством Малевича конечно восхищаться далеко не обязательно, но не знать банальнейших
> вещей (типа, что это далеко не наш современник) ...
> Стыдно, не?

Сарказм же! Неужели в современном мире надо обязательно теги проставлять? [сарказм]#сарказм[/сарказм]

А проплатить мог и кто-то из потомков-правопреемников, носящих ту же фамилию...

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

104. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Аноним (??) on 07-Сен-15, 09:45 
> Safari спокойно отобразил картинку.

Лис сказал что "contains an error" и показывать не стал. Ristretto корректно рассказал что картинка 225000 на 225000 пикселов и памяти на такую картинку не хватит.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Представлена техника совершения DoS-атаки через отправку PNG..."  –1 +/
Сообщение от iZEN (ok) on 03-Сен-15, 21:19 
Тестируем:
1. https://upload.wikimedia.org/wikipedia/commons/f/f4/360-degr...
2. http://derpicdn.net/img/2012/11/9/146238/full.png
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 03-Сен-15, 21:27 
Это фэйк. Оба изображения нормально открываются.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Представлена техника совершения DoS-атаки через отправку PNG..."  –2 +/
Сообщение от iZEN (ok) on 03-Сен-15, 21:29 
> Это фэйк. Оба изображения нормально открываются.

Ждём тех, у кого нет.


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 03-Сен-15, 23:02 
Дорогой, IE уже поддерживает PNG. Кого ждем?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

41. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от soarin (ok) on 04-Сен-15, 04:27 
Мимо, единственное у кого могут быть проблемы на больших картинках - это пользователи фурифокса на линуксе, ибо иксы ...
https://bugs.freedesktop.org/show_bug.cgi?id=77107
https://bugs.freedesktop.org/show_bug.cgi?id=44099
https://bugzilla.mozilla.org/show_bug.cgi?id=957741
...
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

47. "Представлена техника совершения DoS-атаки через отправку PNG..."  +2 +/
Сообщение от Андрей (??) on 04-Сен-15, 07:14 
Хрен Вам! «Изображение содержит ошибки»
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

105. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 09:49 
> Хрен Вам! «Изображение содержит ошибки»

Хрен Вам. Оба нормально показыаются. Фурифоксом, на линухе. Одновременно. На одном пони, на другом панорама с звездным небом. При том тестовая система была довольно малохольная: 2Гб RAM на все вместе. Без свопа. Предъява линухам и фоксу какая-то не предъявистая получилась.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

56. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 10:42 
УМВР, обе картинки открылись нормально. Iceweasel 40.0.3, X.Org X Server 1.16.4, NVIDIA Driver Version: 352.21.

Картинку с новости что Хром, что Лиса не осилили.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

57. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Чудак on 04-Сен-15, 10:42 
Пользователь фурифокса на линухе рапортует о норманом отображении, фейк?
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

68. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 14:09 
> Пользователь фурифокса на линухе рапортует о норманом отображении, фейк?

Не совсем. Файрфокс проверяет размеры, сильно большие картинки отказывается отображать. В смысле, он не виснет, но и картинку не показывает.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

60. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Dobro666 (ok) on 04-Сен-15, 11:20 
Не хочу разводить срач, но...

Bug 77107
Component:     Driver/Radeon

Bug 44099
Component:     Driver/Radeon

Что как бы намекает.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

61. "Представлена техника совершения DoS-атаки через отправку PNG..."  +2 +/
Сообщение от нах on 04-Сен-15, 12:23 
оно намекает что баг не поленился зарепортить пользователь с радеоном.
У меня точно такая же херня на антикварном intel D2700 (с проприетарными интеловскими драйверами, разумеется). Похоже, автор багрепорта прав - нужно сочетание медленный процессор+медленный gpu+какая-то присущая преимущественно мазилле особенность работы с графикой(на самом деле не только, у xv те же проблемы, а вот у gqview и прочего более современного софта их нет - скорее всего потому, что они масштабируют либо режут картинку до отправки ее графическому модулю)
Репортить бессмысленно - баг будет закрыт потому что "это все поганый проприетарный драйвер", "у меня не воспроизводится", "смените версию мазилы/иксов/драйвера/пользователя за клавиатурой". А настоящая причина, разумеется, в том что у девелопера дорогая и мощная игрушка, и его эта проблема не достает. Фрисофтваре такое вот фрисофтваре...

AOT: на винде ни один из имеющихся браузеров spark.png открывать не захотел с идиотскими сообщениями о том что файл битый (гуглезонда у меня нет, но не думаю что и у него что-то другое). Виндовая смотрелка честно сообщила что "что-то оперативной памяти у тебя маловато" и тоже не упала. Intel HD3000 - возможно, на дискретной видюхе винда таки попыталась бы использовать видеокарту для масштабирования. Но вряд ли.

P.S. советы вида "тебе надо - пойди и исправь сам" принимаются от тех, у кого есть хоть один коммит в дерево xorg или принятый коммитером патч. И не в xterm.c

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

88. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Dobro666 (ok) on 05-Сен-15, 06:03 
Не могу согласится со всем выше написанным, но факт в том, что у меня всё открывает и не хрюкает (у меня Невидиа). И нет, я никого не защищаю, просто получилось тогда видюшку со скидкой купить, ей и пользуюсь.

Ну про spark.png я уже говорил - не открывает ни у кого. У меня в обоих браузерах не открывает. Но большие картинки у меня открывает без проблем, правда в фурифоксе всё-таки медленно рендерится.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

8. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от anonymous (??) on 03-Сен-15, 21:49 
Зачем эти ссылки, когда в новости есть ссылка на bzip2 файл?

Pale Moon 25.7.0 выдает 'The file "../spark.png" cannot be displayed because it contains errors.'

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от KOT040188 on 03-Сен-15, 22:24 
У меня нет желания и времени качать и распаковывать…
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

106. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 09:50 
> У меня нет желания и времени качать и распаковывать…

Зато сюда спамить бесполезный мусор - у тебя время есть.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

29. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от ZloySergant (ok) on 04-Сен-15, 00:14 
>Pale Moon 25.7.0 выдает 'The file "../spark.png" cannot be displayed because it contains errors.'

Практически, аналогично. В Слаке Гвенвью и текущий (31.8 на моей системе) фаерфокс послали нафиг. И чо?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от KOT040188 on 03-Сен-15, 22:23 
Не смотря на то, что моя лиса нещадно течёт (я об этом уже писал), картинки открылись шустрее некоторых сайтов. Лиса жива…
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Представлена техника совершения DoS-атаки через отправку PNG..."  +10 +/
Сообщение от Аноним (??) on 03-Сен-15, 21:24 
>  50 гигапикселей (225000 × 225000),

...
> 141.4 Гб.

Масштабно. Хотя подождите, они изобрели zip-бомбу, заливаемую любителями лулзов на BBSки несимпатичным сисопам. А потом авер вкалывает два дня, а все остальные дружно курят, как минимум без новых аплоадов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от eRIC (ok) on 03-Сен-15, 21:43 
такого рода бага была где можно было favicon.ico создать гигабайтами и все браузеры по умолчанию будут автоматически грузить его и тем самым грузить клиентскую систему и кушать трафф %) https://github.com/benjamingr/favicon-bug
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 03-Сен-15, 22:25 
Мы неделю назад такие же квадратные pngшки дикого размера генерили для тестов нашего сайта. Кто-то читает логи нашей конфы...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Представлена техника совершения DoS-атаки через отправку PNG..."  +2 +/
Сообщение от Xaionaro (ok) on 03-Сен-15, 23:05 
А вы -- это кто, если не секрет?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Представлена техника совершения DoS-атаки через отправку PNG..."  +7 +/
Сообщение от Аноним (??) on 03-Сен-15, 23:08 
Анонины с анонимного сервера, разумеется.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Представлена техника совершения DoS-атаки через отправку PNG..."  +2 +/
Сообщение от Аноним (??) on 03-Сен-15, 23:29 
В принципе можно сказать, что анонимы с публичными чатлогами, да.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

46. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Xaionaro (ok) on 04-Сен-15, 06:45 
> В принципе можно сказать, что анонимы с публичными чатлогами, да.

Хорошо, другой вопрос. Вы чем-то можете доказать ваши слова? Я просто хотел сам загуглить после того, как узнаю кто вы, но так как вы не хотите деанонимизироваться, то у меня нет такой возможности.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

52. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Xaionaro (ok) on 04-Сен-15, 09:19 
>> В принципе можно сказать, что анонимы с публичными чатлогами, да.
> Хорошо, другой вопрос. Вы чем-то можете доказать ваши слова? Я просто хотел
> сам загуглить после того, как узнаю кто вы, но так как
> вы не хотите деанонимизироваться, то у меня нет такой возможности.

P.S.: Я просто люблю проверять факты, извиняюсь если это прозвучало грубо — ничего плохого не имелось в виду.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

77. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 17:27 
> P.S.: Я просто люблю проверять факты, извиняюсь если это прозвучало грубо —
> ничего плохого не имелось в виду.

Ничего страшного, просто деанонимизирует это не совсем меня...

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

65. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 13:45 
6.2 гигапикселя
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

83. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 23:41 
> Мы неделю назад такие же квадратные pngшки дикого размера генерили для тестов
> нашего сайта. Кто-то читает логи нашей конфы...

А вы, наверное, прочитали матюки сисопов 20-летней давности, когда им на BBS'ки лили зипари с нулями ужатые 100500 к 1 :). Сисопы обиделись и наиболее ушлые из них стали проверять степень сжатия. Если больше чем эн к одному - можно банхаммер в репу получить. Атоматически.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

93. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 06-Сен-15, 00:50 
> А вы, наверное, прочитали матюки сисопов 20-летней давности, когда им на BBS'ки
> лили зипари с нулями ужатые 100500 к 1 :). Сисопы обиделись
> и наиболее ушлые из них стали проверять степень сжатия. Если больше
> чем эн к одному - можно банхаммер в репу получить. Атоматически.

Мы свой сайт на устойчивость тестили, смотрели на каких размерах начнёт дохнуть и лимиты настраивали. Понятно, что идея не нова. Да и ничего особенного в ней нет, это не droste.zip. Но забавно, что про неё вспомнили именно после наших экспериментов с большими png-шками.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

98. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Аноним (??) on 07-Сен-15, 09:27 
> неё вспомнили именно после наших экспериментов с большими png-шками.

Вообще-то не после ваших, а после сабжевых. Не надо себе приписывать чужие заслуги, вы - не пуп земли.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

12. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Тот_Самый_Анонимус on 03-Сен-15, 22:26 
Сколько ещё шутников выложит левые ПНГшки под видом сабжа, только хоть кто-то посмотрел на дурацкие картинки?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от azex (ok) on 03-Сен-15, 22:44 
У меня на Ubuntu при попытке открыть эту PNG в GIMP 2.9.1 сработало. Началось быстрое поедание памяти, действия, например переключение между окнами приложений, начали отрабатываться с лагом в несколько секунд. Нажал отмену, не дожидаясь полного зависания.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Аноним (??) on 04-Сен-15, 04:06 
Это потому что ты не пользуешься zram.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

99. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 09:27 
> Это потому что ты не пользуешься zram.

Ударим компрессией памяти по ZIP-бомбам! :)

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

110. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 21:33 
>> Это потому что ты не пользуешься zram.
> Ударим компрессией памяти по ZIP-бомбам! :)

Блжад, на заплёваной вами венде компрессионные бомбы еще в прошлом столетии пролечили.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

18. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Dimasiq on 03-Сен-15, 23:16 
Фаерфокс открывать эту пнг отказался, при попытке открыть файл в гимп получилось как-то так http://i.imgur.com/ffdhd26.jpg
На этом пожирание памяти остановилось и система оставалась отзывчивой. Видимо сработала какая-то защита от таких атак...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Представлена техника совершения DoS-атаки через отправку PNG..."  +2 +/
Сообщение от irinat (ok) on 03-Сен-15, 23:45 
Gimp создаёт свой своп-файл и сбрасывает данные туда. Погляди в ~/.gimp-2.8
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Dimasiq on 03-Сен-15, 23:54 
Действительно, так и есть. 10гб еще успел на диск записать до того как я его закрыл. Был лучшего мнения о гимпе.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 00:01 
> Действительно, так и есть. 10гб еще успел на диск записать до того
> как я его закрыл. Был лучшего мнения о гимпе.

Это нормально, вообще-то. Других способов редактирования гигантских картинок нет.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Dimasiq on 04-Сен-15, 00:15 
Это где такие картинки по 20гб то еть? Да и он мог спросить пользователя скажем на 1гб+ стоит ли продолжать загружать эту картинку. А тут молча фигачит на диск. А так выходит открыл картинку, свернул окно, через несколько минут ссд на 100 гигов полностью забито.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Представлена техника совершения DoS-атаки через отправку PNG..."  +5 +/
Сообщение от Аноним (??) on 04-Сен-15, 00:25 
> Это где такие картинки по 20гб то еть?

Геоданные, астрономия...

> Да и он мог спросить пользователя скажем на 1гб+ стоит ли
> продолжать загружать эту картинку. А тут молча фигачит на диск.

У него это в настройках есть.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Представлена техника совершения DoS-атаки через отправку PNG..."  –1 +/
Сообщение от Dimasiq on 04-Сен-15, 00:50 
И где у него такие настройки? Я нашел только некий tile cache size = 7 Гб, но если это оно и есть, то его значение игнорируется http://i.imgur.com/yIjMuB2.png
Обратите внимание на IO Write. Оно серьезно собирается писать на диск пока не кончится место. И при этом оно даже не ограничено размером своп раздела. apt-get purge gimp давай до свидания.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 01:20 
> И где у него такие настройки? Я нашел только некий tile cache
> size = 7 Гб, но если это оно и есть, то
> его значение игнорируется http://i.imgur.com/yIjMuB2.png

Tile cache size это как раз объём оперативной памяти, который можно занять под картинку. То что не влезет он будет на диск свопить.

Там рядом есть максимальный размер картинки же! Или он только для новых файлов его проверяет?

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

36. "Представлена техника совершения DoS-атаки через отправку PNG..."  –1 +/
Сообщение от Dimasiq on 04-Сен-15, 02:00 
Ну так как значение 7Гб, а свопить он начал после 10Гб, то явно это не то значение.
>The cache tile size is the amount of data (tiles) that Photoshop operates on at one time.

Видимо и в гимпе эта настройка означает то же самое.
И да, размер максимальный размер можно задать только для новых картинок.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

54. "Представлена техника совершения DoS-атаки через отправку PNG..."  +5 +/
Сообщение от Аноним (??) on 04-Сен-15, 10:38 
> apt-get purge gimp давай до свидания.

Это огромная потеря для сообщества Gimp юзеров, мы все помним и скорбим о твоем уходе. Нам не безразлично что ты удалил Gimp и в ближайшее время я и еще 33 добровольца уйдет с основной работы и начнут улучшать Gimp фултайм в надежде что ты возвратишься и сделаешь apt-get install gimp.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

62. "Представлена техника совершения DoS-атаки через отправку PNG..."  –1 +/
Сообщение от Аноним (??) on 04-Сен-15, 12:29 
Ну а пока что apt-get install adobe-photoshop
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

70. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Michael Shigorin email(ok) on 04-Сен-15, 15:01 
> Это нормально, вообще-то. Других способов редактирования гигантских картинок нет.

Посмотрите nip2.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

71. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 15:31 
>> Это нормально, вообще-то. Других способов редактирования гигантских картинок нет.
> Посмотрите nip2.

То же самое. `nip2 spark.png` просит подождать 126 минут, а тем временем пишет гигабайты в ~/.nip2*

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

100. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 09:29 
Ну так если вы хотите работать с 140Гб картинкой целиком в памяти, без медленной эмуляции недостающей памяти диском - извольте себе эти 140Гб физической памяти докупить. Ну или смысла то жаловаться что HDD - тормозная эмуляция оперативы? Мы и без вас это знали.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

38. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Анончег on 04-Сен-15, 03:54 
Сейчас подойдёт Прокудин и скажет что всё в полном порядке, так и было задумано.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

21. "Представлена техника совершения DoS-атаки через отправку PNG..."  +3 +/
Сообщение от Аноним (??) on 03-Сен-15, 23:44 
Вообще-то этой "технике" лет чуть ли не столько же, сколько формату PNG.

И вообще, нормальные редакторы/просмотрщики, которые в курсе что изображения бывают и гигапикселями (например в астрофото или панорамах), грузят только кусок картинки, а не всю целиком. Фотошоп, например, не удалось подвесить, т.к. в нем обработка больших картинок сделана по уму.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 03-Сен-15, 23:49 
Так что на картинке-то?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

37. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от РОСКОМУЗОР on 04-Сен-15, 02:28 
Просмотр изображений в Убунте сказал что "Недостаточно памяти для хранения изображения размером 225000 на 225000; попробуйте закрыть некоторые приложения, чтобы уменьшить количество используемой памяти"..не взорвалас "бомба" (((((
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от soarin (ok) on 04-Сен-15, 04:24 
safari - отобразил большой чёрный квадрат
opera и firefox - не стали загружать, типа некорректное изображение
Встроенный просмотрщик в OS X - сожрал 61 ГБ памяти, появилось сообщение о том, что "не хватает памяти", закрыл
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Andrey email(??) on 04-Сен-15, 04:30 
В Windows 8.1 средствами системы тоже не получается отобразить фаил - сразу пишет нехватка памяти.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от chinarulezzz (ok) on 04-Сен-15, 04:47 
libpng error: IDAT: CRC error
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Аноним (??) on 04-Сен-15, 05:43 
feh открыл и не упал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Тот_Самый_Анонимус on 04-Сен-15, 08:01 
Файл открылся хекс-редактором. Никакого выедания памяти и зависаний. Лжёт новость.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

69. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 14:42 
> feh открыл и не упал.

Мне `feh -F spark.png` показал чорный экран вместо картинки и IDAT: CRC error.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

50. "Представлена техника совершения DoS-атаки через отправку PNG..."  +3 +/
Сообщение от Аноним (??) on 04-Сен-15, 08:30 
Попробовал открыть через ImageMagic через три минуты комп повис напрочь и больше не включается. Пишу с телефона.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Представлена техника совершения DoS-атаки через отправку PNG..."  +5 +/
Сообщение от Аноним (??) on 04-Сен-15, 09:51 
Брат-то жив?
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

55. "Представлена техника совершения DoS-атаки через отправку PNG..."  +2 +/
Сообщение от Аноним (??) on 04-Сен-15, 10:41 
> Попробовал открыть через ImageMagic через три минуты комп повис напрочь и больше
> не включается. Пишу с телефона.

Я попробовал открыть с телефона, телефон теперь не включается, пишу с печатной машинки.  

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

58. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Ури on 04-Сен-15, 10:47 
С пылесоса же!
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

64. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от burjui (ok) on 04-Сен-15, 13:39 
Попробовал открыть с печатной машинки, теперь не нажимаются клавиши, пишу через сервис HTTP/PM (HTTP over Pidgeon Mail).
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

107. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от mic_ndfbnj email on 07-Сен-15, 15:48 
Попробовал через сервис HTTP/PM (HTTP over Pidgeon Mail) - завис, выключил электричество в квартире, взял палатку, еду и пошёл в лес на три дня, чтобы развеяться из-за череды неудач и зависаний
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

59. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Аноним (??) on 04-Сен-15, 11:11 
Ни одна программа не зависла и не открыла картинку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от mcorn on 04-Сен-15, 14:06 
в GIMP смог воспроизвести, но он не уронил систему, начал в свой собственный своп все валить
+ phatch (удобное ПО для пакетного редактирования изображений) реально смогла воспроизвести, ОЗУ и своп забился под упор..

... остальное ПО дало ошибку..


Ubuntu 15.04

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 15:41 
http://m8y.org/tmp/zipbomb/foo.html - то же самое, но на svg.
Роняет виндовую мазилу, вместе с виндой, из _успешно_закрытого_ Bug 1174811 которой я и добыл эту чудесную ссылку ;-)

В линуксе должен, по идее, сработать oom-killer, но под рукой нет мазилы, которую не жалко уронить, а виртуалку запускать мне лень.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 15:45 
да, внутри там, естественно, вот такой big.svgz:
  compressed uncompressed  ratio uncompressed_name
     1042150   1073741875  99.9% big.svg
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

74. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 04-Сен-15, 16:07 
> но под рукой нет мазилы, которую не жалко уронить,
> а виртуалку запускать мне лень.

Зачем виртуалку? Можно же запустить в отдельном профиле, ограничив ему память:

ulimit -v 1000000

firefox --no-remote -p testsvg

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

76. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от . on 04-Сен-15, 16:48 
> Зачем виртуалку? Можно же запустить в отдельном профиле, ограничив ему память:

так она тогда гавкнется в core по лимиту, а oom не придет.

P.S. msie страницу открыл, но криво. Подсунул ему сам svgшник - сожрал 11гиг и политкорректно самоубился. Правда, обещал вернуться и "восстановить страницу" ;-)


Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

101. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 09:33 
> Правда, обещал вернуться и "восстановить страницу" ;-)

Да, хорошая мысль - восстановить страницу съевшую 11 гигз. Лучше всего это сделать автоматически, без подтверждения пользователем. Мозилла когда-то так и делали. Но постепенно жизнь научила их не загружать содержимое восстанавливаемых табов пока юзер на них не клацнул, а то и вовсе подтверждение на рестор сессии спрашивать. И чего это они? :)

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

75. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Dimasiq on 04-Сен-15, 16:25 
Фф отожрал 11гб и начал дико глючить, но вкладку закрыть дал.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

91. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от iZEN (ok) on 05-Сен-15, 19:32 
> http://m8y.org/tmp/zipbomb/foo.html - то же самое, но на svg.
> Роняет виндовую мазилу, вместе с виндой, из _успешно_закрытого_ Bug 1174811 которой я
> и добыл эту чудесную ссылку ;-)

На FreeBSD Фурифокс как бы останавливает прорисовку окна на несколько секунд, отжирая 6,2 ГБ ОЗУ, а потом оживает, освобождая 4,5 ГБ - это сообщение пишу рядом с "горящим танком" с соседней вкладки.
Chromium делает "Опаньки" и просит перезагрузить вкладку, не зависая.


Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

95. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от count0krsk (ok) on 06-Сен-15, 19:26 
Icecat тоже роняет. И midori. А вот 12ю Оперу - нет, как ни странно. Память отжирается со скоростью 3 Мб в секунду, что позволяет неторопливо серфить по другим вкладкам или остановить загрузку "плохой".
В-общем твой svgz опаснее представленного в новости png, который не свалил ничего в моей системе.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

79. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от soarin (ok) on 04-Сен-15, 20:34 
А это норм на линуксах https://bugzilla.kernel.org/attachment.cgi?id=118351 ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Gannet email(ok) on 04-Сен-15, 22:51 
Какой номер репорта, можно ссылку на репорт? :)
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

87. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от soarin (ok) on 05-Сен-15, 04:46 
https://bugzilla.kernel.org/show_bug.cgi?id=60533
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

84. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Dimasiq on 05-Сен-15, 00:41 
ппц это было выложено 2013-12-14 и все еще отлично работает
да так работает что от него настолько заглючило baloo что даже после ребута он крашил плазму
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

97. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от count0krsk (ok) on 06-Сен-15, 19:54 
> А это норм на линуксах https://bugzilla.kernel.org/attachment.cgi?id=118351 ?

icecat сожрал всю память, хромка и мидори выжили, память не сожрали. Ну и опера12 само собой переварила.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

102. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 09:36 
> А это норм на линуксах https://bugzilla.kernel.org/attachment.cgi?id=118351 ?

Там написано Loading... и "ohmed was here". Им что, тоже багзиллу сломали?

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

81. "Представлена техника совершения DoS-атаки через отправку PNG..."  +1 +/
Сообщение от Аноним (??) on 04-Сен-15, 22:16 
Где картинку скачать? Запощу, друзья перепостят и пошло-поехало...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Perl_Jam on 05-Сен-15, 02:19 
дамы и господа, баг с favicon.ico был описан когда? ну-ка, пользуемся поиском..... по сабжу, хипстеры-пейсатели просто не знают про мыльные бомбы..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

90. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от iZEN (ok) on 05-Сен-15, 19:19 
> PNG-изображение размером 6 Мб (в форме bzip-архива
> (https://www.bamsoftware.com/bzr/deflate/spark.png.bz2) 420 байт), которое распаковывается
> в картинку 50 гигапикселей (225000 × 225000), которая в раскладке 3
> байта на пиксель потребует для своей обработки буфера  в 141.4
> Гб.

% ls spark.png
-r--------  1 igor  wheel   5,8M  5 сен 19:12 spark.png
% eom spark.png
Убит
% uname -rsm
FreeBSD 10.2-STABLE amd64

Телеметрия по памяти: http://s14.postimg.org/n1y14mqa9/spark_png_eom_1_10_3_Free_B...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

103. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Аноним (??) on 07-Сен-15, 09:40 
> Телеметрия по памяти:

Изен выучил новое слово. Но правда не знает что оно означает - а где там ТЕЛЕ, собственно? Ты с ремотного компа это собрал? И даже гуйную прогу научился запускать. На свой зад.

(интересно, а если ты perf увидишь - ты наверное офигеешь от тамошней телеметрии и что так вообще можно было).

И все бы ничего но в твоей "телеметрии" - шрифты ну просто забойный трэшак. Попытка прочесть обозначения процентов вообще мигом приведет к окулисту.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

112. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от www2 (ok) on 11-Сен-15, 19:32 
>И все бы ничего но в твоей "телеметрии" - шрифты ну просто забойный трэшак. Попытка прочесть обозначения процентов вообще мигом приведет к окулисту.

Шрифты в стиле чертёжных ГОСТ.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

92. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от Slowpoke on 05-Сен-15, 20:51 
Хм, у меня сей файл отказываются открывать: eyeofmate, firefox и GIMP. Все трое ругаются на неправильный размер.
Версии не очень уж новые:
eom --version «Глаз MATE» 1.6.0
Mozilla Firefox 38.2.0
GNU Image Manipulation Program версии 2.8.14

Так что, бага действует на что-то очень старое, расслабьтесь =)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

96. "Представлена техника совершения DoS-атаки через отправку PNG..."  +/
Сообщение от count0krsk (ok) on 06-Сен-15, 19:29 
XnView для линукса не открыл, браузеры все тоже, гляделка lxde сказала что ты много хочешь, обломайся. Так что png не катит. А вот svgz - интересная тема.


Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру