The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от opennews (?), 03-Июл-19, 13:49 
В наборе библиотек SDL (https://libsdl.org/) (Simple Direct Layer), предоставляющем средства для аппаратно ускоренного вывода 2D- и 3D-графики, обработка ввода, воспроизведение звука, вывод 3D через OpenGL/OpenGL ES и множество иных сопутствующих операций, выявлено (https://blog.talosintelligence.com/2019/07/vulnerability-spo...) 6 уязвимостей. В том числе в библиотеке SDL2_image обнаружены две проблемы, позволяющие организовать удалённое выполнение кода в системе. Атака может быть совершена на приложения, использующие SDL для загрузки изображений.

Обе уязвимости (CVE-2019-5051 (https://www.talosintelligence.com/vulnerability_reports/TALO...), СVE-2019-5051 (https://www.talosintelligence.com/vulnerability_reports/TALO...)) присутствует в функции IMG_LoadPCX_RW и вызваны отсутствием необходимого обработчика ошибок и целочисленным переполнением, которые можно эксплуатировать через передачу специально оформленного файла в формате PCX. Проблемы уже устранены (https://discourse.libsdl.org/t/sdl-image-2-0-5-released/26347) в выпуске SDL_image 2.0.5 (https://www.libsdl.org/projects/SDL_image/). Информация об остальных 4 уязвимостях пока не раскрывается (https://www.talosintelligence.com/vulnerability_reports/TALO...).

URL: https://blog.talosintelligence.com/2019/07/vulnerability-spo...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51017

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  –6 +/
Сообщение от Пятачок_с_мёдом (?), 03-Июл-19, 13:49 
Парад уязвимостей в свободном программном обеспечении... Сбежать на  форточки?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +3 +/
Сообщение от Аноним (2), 03-Июл-19, 13:53 
Беги-беги. jpeg сплоит там давно залатали.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +2 +/
Сообщение от VINRARUS (ok), 03-Июл-19, 14:07 
Правильно, не можеш победить - возглавь.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  –3 +/
Сообщение от анонн (?), 03-Июл-19, 14:09 
Зачем виндоуз, есть же BSD-системы. Кстати, там реальный UNIX (напоминаю, что линукс не соответствует спецификациям UNIX). Кстати, в BSD-системах также нет systemd (напоминаю, что в линукс повсеместен systemd).

А проблема виндоуза в первую очеред в том, что он не UNIX. Как и линукса.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +1 +/
Сообщение от Аноним (7), 03-Июл-19, 14:40 
А нужен реальный юникс? Ведь так называемая "философия юникс - это набор костылей. И сами создатели Юникса потом пытались его улучшить в своей ОСи Plan9
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +1 +/
Сообщение от ryoken (ok), 03-Июл-19, 14:56 
Про Devuan & Gentoo благородный дон не слышал? Это только то, что сам использую.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от анонн (?), 03-Июл-19, 15:03 
> Зачем виндоуз, есть же BSD-системы. Кстати, там реальный UNIX (напоминаю, что линукс не соответствует спецификациям UNIX). Кстати, в BSD-системах также нет systemd (напоминаю, что в линукс повсеместен systemd).

Я так понимаю, что ты на самом деле тот самый перепончатый, без знаний предмета, но с подгоранием и решил "отомстить", запостив тупость и безграмотность из под "ненависного" ника?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

24. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Ключевский (?), 03-Июл-19, 18:37 
На BSD нет и никогда не было «реального Unix».
Unix это то, что прошло сертификацию. Например macOS(не путай с MacOS) и OS X это Unix. Например Oracle Solaris это Unix. Например AIX это Unix.

https://www.opengroup.org/openbrand/register/

А про BSD ты врешь, как всегда.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

30. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от анонн (ok), 03-Июл-19, 22:13 
> На BSD нет и никогда не было «реального Unix».

Ох уж эти знатоки:


The UNIX system family tree: Research and BSD
---------------------------------------------

First Edition (V1)
     |
Second Edition (V2)
     |
Third Edition (V3)
     |
Fourth Edition (V4)
     |
Fifth Edition (V5)
     |
Sixth Edition (V6) -----*
       \                |
        \               |
         \              |
Seventh Edition (V7)    |
            \           |
             \        1BSD
             32V        |
               \      2BSD---------------*
                \    /                   |
                 \  /                    |
                  \/                     |
                 3BSD                    |
                  |                      |
               4.0BSD                2.79BSD
                  |                      |
               4.1BSD --------------> 2.8BSD
                  |                      |
              4.1aBSD -----------\       |
                  |                \     |
              4.1bBSD                \   |
                  |                    \ |
      *------ 4.1cBSD --------------> 2.9BSD
     /            |                      |
Eighth Edition    |                   2.9BSD-Seismo
     |            |                      |
     +----<--- 4.2BSD               2.9.1BSD
     |            |                      |
     +----<--- 4.3BSD -------------> 2.10BSD
     |            |               /      |
Ninth Edition     |              / 2.10.1BSD
     |         4.3BSD Tahoe-----+        |


дальше смотри сам
https://raw.githubusercontent.com/freebsd/freebsd/master/sha...
Или
https://www.freebsd.org/doc/en/articles/explaining-bsd/what-...
> Sun Microsystems licensed UNIX® and implemented a version of 4.2BSD,
> which they called SunOS™. When AT&T themselves were allowed to sell UNIX®
> commercially, they started with a somewhat bare-bones implementation called
> System III, to be quickly followed by System V.
> ...
> The BSD tapes contained AT&T source code and thus required a UNIX® source license. By 1990, the CSRG's funding was running out, and it faced closure.
> Some members of the group decided to release the BSD code, which was
> Open Source, without the AT&T proprietary code.

Не, конечно ты можешь возразить что вот они-то врут, а некий Ключевский (уличенный уже не раз на балабольстве) именно тут правду-матку режет, но ...

> А про BSD ты врешь, как всегда.

Не так давно некий Ключевский вещал с умным видом, что  Дэниэль Роббинс, создатель Gentoo, никоим образом не заимствовал никаких идей из фри ...
Но вы продолжайте, продолжайте.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

34. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Аноним (34), 03-Июл-19, 23:07 
Более того, софт еще и на определенном железе должен быть запущен, чтобы считаться UNIX(R). Например, макос на хакинтошах уже не юникс.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

6. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +1 +/
Сообщение от anonymous (??), 03-Июл-19, 14:31 
sdl и под шиндоус активно используется.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

21. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +2 +/
Сообщение от Аноним (21), 03-Июл-19, 18:23 
Беги-беги. В форточках тоже полно игрушек использующих SDL, только они на новую версию никогда уже не обновятся. В следующий раз когда тебе придёт картинка с логотипом команды в какой-нибудь мультиплеерной FPS, как следует подумай, не утекли ли в этот момент твои пароли, ключи и кошельки.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  –5 +/
Сообщение от Fracta1L (ok), 03-Июл-19, 14:09 
Продолжаем хлебать баги и дыры, что у "божественной сишечки" в ДНК
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Кергуду (?), 03-Июл-19, 17:05 
Надо срочно переписать все на метапрог!
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +3 +/
Сообщение от Аноним (19), 03-Июл-19, 17:17 
От того, что ты заменишь 1 деталь в системе, которая почти на 99% написана на Си/Си++ легче не станет.
И это не говоря о том, что в архитектуре CPU с доступом к памяти на основе указателей ЯП ничего не решит вообще. Какой ЯП не возьми, внутри он также будет работать с указателями.
И последний момент это обработка входных данных, где ЯП тоже ничего не решает. Решает человек, которому свойственно ошибаться.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

37. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от leap42 (ok), 04-Июл-19, 11:10 
продолжаем, а как иначе? - ждать пол века пока появится альтернатива на ржавчине, не дождаться и всё равно взять SDL?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +5 +/
Сообщение от Аноним (8), 03-Июл-19, 14:45 
ИМО уязвимость применимая только в теории. SDL используют в основном для игр, а там все ресурсы свои, из непроверенных источников не загружаются.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +1 +/
Сообщение от souryogurt (ok), 03-Июл-19, 16:28 
Ну даже в играх такое можно эксплуатировать все равно. Помню, Игруха Little Inferno самостоятельно, без каких либо запросов с твоей стороны, шарит в твоих фотографиях в домашней директории и добавляет их в игру (чтобы потом "сжечь"). Интересно, она использует SDL?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от НяшМяш (ok), 03-Июл-19, 16:35 
Если это какая-нибудь мобильная игра - то там в порядке вещей тянуть ресурсы с сети при первом запуске, потому что начальный размер пакета ограничен при скачивании из магазина с мобильного интернета.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от amonimous (?), 03-Июл-19, 16:35 
Некоторые игры поддерживают сторонние моды
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

22. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Аноним (21), 03-Июл-19, 18:24 
Ну конечно. Карты грузятся только так, причём со скриншотами. Логотипы команд и игроков грузятся, аватарки. Широченный простор для эксплуатации.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

25. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Ключевский (?), 03-Июл-19, 18:38 
Узнай о существовании сторонних модов и открой для себя новый дивный мир.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Wilem (?), 03-Июл-19, 14:46 
RIIR.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Аноним (28), 03-Июл-19, 19:39 
А зачем нужен SDL библиотеке FFmpeg ? И почему мне его навязывают в качесте зависимости в рачике ? Этот же вопрос касается и Pulseaudio ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +1 +/
Сообщение от Аноним (-), 03-Июл-19, 21:34 
а зачем ты спрашиваешь об этом местных анонимов, а не меинтейнеров рачика?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

36. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Аноним (36), 04-Июл-19, 10:37 
> зачем нужен SDL библиотеке FFmpeg ?

Обычно для вывода видео и звука. Из достаточно популярных - kdenlive хочет ffmpeg с sdl. Плееры обычно используют свой код вывода видео и звука, поэтому им ffmpeg с поддержкой sdl не требуется (но можно попробовать заюзать, если очень хочется).

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

35. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Аноним (35), 04-Июл-19, 10:27 
Сцyка, это только на опеннете вместо вменяемых комментариев сразу идут тупые тролли и имбецилы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Нуб (?), 04-Июл-19, 14:29 
объясните по простому: если старый игорь использует sdl вместо движка, сторонних модов никаких нет - бояться нечего?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Аноним (36), 04-Июл-19, 16:22 
А флатпаки кто-нибудь будет обновлять?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Аноним (40), 04-Июл-19, 19:25 
какие приложения под ударом?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Аноним (-), 04-Июл-19, 21:32 
это касается только SDL2.0 ?
или в SDL1.2 эти уязвимости тоже есть ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от анонимка (?), 05-Июл-19, 17:54 
Открываешь картинку из интернетов и запускается шмфровальщик. Неплохо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от рлшаоз (?), 06-Июл-19, 04:23 
ну если ктото смотрит картинки в интернете под рутом - то туда ему и дорога
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "Уязвимость в библиотеке SDL, приводящая к выполнению кода пр..."  +/
Сообщение от Аноним (44), 06-Июл-19, 05:00 
PCX? Ими ещё кто-то пользуется?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру