Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."	+/–
Сообщение от opennews (?), 03-Июл-19, 13:49
В наборе библиотек SDL (https://libsdl.org/) (Simple Direct Layer), предоставляющем средства для аппаратно ускоренного вывода 2D- и 3D-графики, обработка ввода, воспроизведение звука, вывод 3D через OpenGL/OpenGL ES и множество иных сопутствующих операций, выявлено (https://blog.talosintelligence.com/2019/07/vulnerability-spo... 6 уязвимостей. В том числе в библиотеке SDL2_image обнаружены две проблемы, позволяющие организовать удалённое выполнение кода в системе. Атака может быть совершена на приложения, использующие SDL для загрузки изображений. Обе уязвимости (CVE-2019-5051 (https://www.talosintelligence.com/vulnerability_reports/TALO... СVE-2019-5051 (https://www.talosintelligence.com/vulnerability_reports/TALO... присутствует в функции IMG_LoadPCX_RW и вызваны отсутствием необходимого обработчика ошибок и целочисленным переполнением, которые можно эксплуатировать через передачу специально оформленного файла в формате PCX. Проблемы уже устранены (https://discourse.libsdl.org/t/sdl-image-2-0-5-released/26347) в выпуске SDL_image 2.0.5 (https://www.libsdl.org/projects/SDL_image/). Информация об остальных 4 уязвимостях пока не раскрывается (https://www.talosintelligence.com/vulnerability_reports/TALO.... URL: https://blog.talosintelligence.com/2019/07/vulnerability-spo... Новость: https://www.opennet.dev/opennews/art.shtml?num=51017
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Пятачок_с_мёдом (?), 03-Июл-19, 13:49	–6 +/–
Парад уязвимостей в свободном программном обеспечении... Сбежать на  форточки?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #5, #6, #21

2. Сообщение от Аноним (2), 03-Июл-19, 13:53	+3 +/–
Беги-беги. jpeg сплоит там давно залатали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от VINRARUS (ok), 03-Июл-19, 14:07	+2 +/–
Правильно, не можеш победить - возглавь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от Fracta1L (ok), 03-Июл-19, 14:09	–5 +/–
Продолжаем хлебать баги и дыры, что у "божественной сишечки" в ДНК
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #19, #37, #49

5. Сообщение от анонн (?), 03-Июл-19, 14:09	–3 +/–
Зачем виндоуз, есть же BSD-системы. Кстати, там реальный UNIX (напоминаю, что линукс не соответствует спецификациям UNIX). Кстати, в BSD-системах также нет systemd (напоминаю, что в линукс повсеместен systemd). А проблема виндоуза в первую очеред в том, что он не UNIX. Как и линукса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7, #10, #12, #24, #48

6. Сообщение от anonymous (??), 03-Июл-19, 14:31	+1 +/–
sdl и под шиндоус активно используется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

7. Сообщение от Аноним (7), 03-Июл-19, 14:40	+1 +/–
А нужен реальный юникс? Ведь так называемая "философия юникс - это набор костылей. И сами создатели Юникса потом пытались его улучшить в своей ОСи Plan9
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от Аноним (8), 03-Июл-19, 14:45	+5 +/–
ИМО уязвимость применимая только в теории. SDL используют в основном для игр, а там все ресурсы свои, из непроверенных источников не загружаются.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #16, #17, #22, #25

9. Сообщение от Wilem (?), 03-Июл-19, 14:46	+/–
RIIR.
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от ryoken (ok), 03-Июл-19, 14:56	+1 +/–
Про Devuan & Gentoo благородный дон не слышал? Это только то, что сам использую.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

12. Сообщение от анонн (?), 03-Июл-19, 15:03	+/–
> Зачем виндоуз, есть же BSD-системы. Кстати, там реальный UNIX (напоминаю, что линукс не соответствует спецификациям UNIX). Кстати, в BSD-системах также нет systemd (напоминаю, что в линукс повсеместен systemd). Я так понимаю, что ты на самом деле тот самый перепончатый, без знаний предмета, но с подгоранием и решил "отомстить", запостив тупость и безграмотность из под "ненависного" ника?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

15. Сообщение от souryogurt (ok), 03-Июл-19, 16:28	+1 +/–
Ну даже в играх такое можно эксплуатировать все равно. Помню, Игруха Little Inferno самостоятельно, без каких либо запросов с твоей стороны, шарит в твоих фотографиях в домашней директории и добавляет их в игру (чтобы потом "сжечь"). Интересно, она использует SDL?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #45

16. Сообщение от НяшМяш (ok), 03-Июл-19, 16:35	+/–
Если это какая-нибудь мобильная игра - то там в порядке вещей тянуть ресурсы с сети при первом запуске, потому что начальный размер пакета ограничен при скачивании из магазина с мобильного интернета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

17. Сообщение от amonimous (?), 03-Июл-19, 16:35	+/–
Некоторые игры поддерживают сторонние моды
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #50

18. Сообщение от Кергуду (?), 03-Июл-19, 17:05	+/–
Надо срочно переписать все на метапрог!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

19. Сообщение от Аноним (19), 03-Июл-19, 17:17	+3 +/–
От того, что ты заменишь 1 деталь в системе, которая почти на 99% написана на Си/Си++ легче не станет. И это не говоря о том, что в архитектуре CPU с доступом к памяти на основе указателей ЯП ничего не решит вообще. Какой ЯП не возьми, внутри он также будет работать с указателями. И последний момент это обработка входных данных, где ЯП тоже ничего не решает. Решает человек, которому свойственно ошибаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

21. Сообщение от Аноним (21), 03-Июл-19, 18:23	+2 +/–
Беги-беги. В форточках тоже полно игрушек использующих SDL, только они на новую версию никогда уже не обновятся. В следующий раз когда тебе придёт картинка с логотипом команды в какой-нибудь мультиплеерной FPS, как следует подумай, не утекли ли в этот момент твои пароли, ключи и кошельки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #46

22. Сообщение от Аноним (21), 03-Июл-19, 18:24	+/–
Ну конечно. Карты грузятся только так, причём со скриншотами. Логотипы команд и игроков грузятся, аватарки. Широченный простор для эксплуатации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

24. Сообщение от Ключевский (?), 03-Июл-19, 18:37	+/–
На BSD нет и никогда не было «реального Unix». Unix это то, что прошло сертификацию. Например macOS(не путай с MacOS) и OS X это Unix. Например Oracle Solaris это Unix. Например AIX это Unix. https://www.opengroup.org/openbrand/register/ А про BSD ты врешь, как всегда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #30, #34

25. Сообщение от Ключевский (?), 03-Июл-19, 18:38	+/–
Узнай о существовании сторонних модов и открой для себя новый дивный мир.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

28. Сообщение от Аноним (28), 03-Июл-19, 19:39	+/–
А зачем нужен SDL библиотеке FFmpeg ? И почему мне его навязывают в качесте зависимости в рачике ? Этот же вопрос касается и Pulseaudio ...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #36, #51

29. Сообщение от Аноним (-), 03-Июл-19, 21:34	+1 +/–
а зачем ты спрашиваешь об этом местных анонимов, а не меинтейнеров рачика?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

30. Сообщение от анонн (ok), 03-Июл-19, 22:13	+1 +/–
> На BSD нет и никогда не было «реального Unix». Ох уж эти знатоки: The UNIX system family tree: Research and BSD --------------------------------------------- First Edition (V1)      | Second Edition (V2)      | Third Edition (V3)      | Fourth Edition (V4)      | Fifth Edition (V5)      | Sixth Edition (V6) -----*        \                |         \               |          \              | Seventh Edition (V7)    |             \           |              \        1BSD              32V        |                \      2BSD---------------*                 \    /                   |                  \  /                    |                   \/                     |                  3BSD                    |                   |                      |                4.0BSD                2.79BSD                   |                      |                4.1BSD --------------> 2.8BSD                   |                      |               4.1aBSD -----------\       |                   |                \     |               4.1bBSD                \   |                   |                    \ |       *------ 4.1cBSD --------------> 2.9BSD      /            |                      | Eighth Edition    |                   2.9BSD-Seismo      |            |                      |      +----<--- 4.2BSD               2.9.1BSD      |            |                      |      +----<--- 4.3BSD -------------> 2.10BSD      |            |               /      | Ninth Edition     |              / 2.10.1BSD      |         4.3BSD Tahoe-----+        | дальше смотри сам https://raw.githubusercontent.com/freebsd/freebsd/master/sha... Или https://www.freebsd.org/doc/en/articles/explaining-bsd/what-... > Sun Microsystems licensed UNIX® and implemented a version of 4.2BSD, > which they called SunOS™. When AT&T themselves were allowed to sell UNIX® > commercially, they started with a somewhat bare-bones implementation called > System III, to be quickly followed by System V. > ... > The BSD tapes contained AT&T source code and thus required a UNIX® source license. By 1990, the CSRG's funding was running out, and it faced closure. > Some members of the group decided to release the BSD code, which was > Open Source, without the AT&T proprietary code. Не, конечно ты можешь возразить что вот они-то врут, а некий Ключевский (уличенный уже не раз на балабольстве) именно тут правду-матку режет, но ... > А про BSD ты врешь, как всегда. Не так давно некий Ключевский вещал с умным видом, что  Дэниэль Роббинс, создатель Gentoo, никоим образом не заимствовал никаких идей из фри ... Но вы продолжайте, продолжайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

34. Сообщение от Аноним (34), 03-Июл-19, 23:07	+/–
Более того, софт еще и на определенном железе должен быть запущен, чтобы считаться UNIX(R). Например, макос на хакинтошах уже не юникс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

35. Сообщение от Аноним (35), 04-Июл-19, 10:27	+/–
Сцyка, это только на опеннете вместо вменяемых комментариев сразу идут тупые тролли и имбецилы?
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Аноним (36), 04-Июл-19, 10:37	+/–
> зачем нужен SDL библиотеке FFmpeg ? Обычно для вывода видео и звука. Из достаточно популярных - kdenlive хочет ffmpeg с sdl. Плееры обычно используют свой код вывода видео и звука, поэтому им ffmpeg с поддержкой sdl не требуется (но можно попробовать заюзать, если очень хочется).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

37. Сообщение от leap42 (ok), 04-Июл-19, 11:10	+/–
продолжаем, а как иначе? - ждать пол века пока появится альтернатива на ржавчине, не дождаться и всё равно взять SDL?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

38. Сообщение от Нуб (?), 04-Июл-19, 14:29	+/–
объясните по простому: если старый игорь использует sdl вместо движка, сторонних модов никаких нет - бояться нечего?
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (36), 04-Июл-19, 16:22	+/–
А флатпаки кто-нибудь будет обновлять?
Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от Аноним (40), 04-Июл-19, 19:25	+/–
какие приложения под ударом?
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Аноним (-), 04-Июл-19, 21:32	+/–
это касается только SDL2.0 ? или в SDL1.2 эти уязвимости тоже есть ?
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от анонимка (?), 05-Июл-19, 17:54	+/–
Открываешь картинку из интернетов и запускается шмфровальщик. Неплохо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43

43. Сообщение от рлшаоз (?), 06-Июл-19, 04:23	+/–
ну если ктото смотрит картинки в интернете под рутом - то туда ему и дорога
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (44), 06-Июл-19, 05:00	+/–
PCX? Ими ещё кто-то пользуется?
Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от апаа (?), 15-Июл-20, 08:07	+/–
Ты хранишь фотографии в формате PCX ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

46. Сообщение от апаа (?), 15-Июл-20, 08:11	+/–
Что мешает самому скачать обновленный dll файл и скопировать в каждую папку с игрой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

47. Сообщение от uis (ok), 31-Дек-20, 13:39	+1 +/–
Прикольно. Хотя сам пользуюсь stb_image, но думаю раскурить и начать использовать libpng.
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от uis (ok), 31-Дек-20, 13:41	+/–
В генте пользуют OpenRC
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

49. Сообщение от uis (ok), 31-Дек-20, 13:43	+/–
Во всём виновата сишечка, ага. И нож виноват, что им режут людей. Да и арматура. Арматура виновата, что ею гопник по башке легонько так стукает. Хотя я планирую в своих проектах переходить с sdl на специализированные библиотеки. Для создания контекста opengl будет egl. Кста, знает кто библиотеку для HID устройств?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

50. Сообщение от uis (ok), 31-Дек-20, 13:48	+/–
И во всём будет виновата sdl, а не сомнительный код мода?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

51. Сообщение от uis (ok), 31-Дек-20, 13:49	+/–
> А зачем нужен SDL библиотеке FFmpeg ? И почему мне его навязывают > в качесте зависимости в рачике ? Этот же вопрос касается и > Pulseaudio ... В генте таких приколов нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема