The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В мультимедийном фреймворке GStreamer выявлено 29 уязвимостей

20.12.2024 12:23

В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 29 уязвимостей. Восемь уязвимостей приводят к записи данных за пределы буфера, а одна (CVE-2024-47540) к перезаписи указателя на функцию. Указанные уязвимости могут потенциально использоваться злоумышленниками для организации выполнения кода при обработке некорректно оформленных мультимедийных данных в форматах MKV, MP4, Ogg, Vorbis и Opus, а также субтитров в формате SSA. Остальные уязвимости приводят к разыменованию нулевого указателя или чтению из области памяти за границей буфера, т.е. могут использоваться для инициирования аварийного завершения.

Библиотека GStreamer применяется для разбора мультимедийных файлов в приложениях Nautilus (GNOME Files), GNOME Videos и Rhythmbox, а также в развиваемом проектом GNOME поисковом движке tracker-miners. Данный движок устанавливается во многих дистрибутивах в качестве зависимости к пакету tracker-extract, применяемому в GNOME для автоматического разбора метаданных в новых файлах. Среди прочего, указанный сервис индексирует все файлы в домашнем каталоге без каких-либо действий со стороны пользователя. Таким образом, для атаки достаточно добиться появления в каталоге пользователя специально созданного мультимедийного файла и уязвимость будет эксплуатирована во время его автоматической индексации.

Уязвимости устранены в обновлении GStreamer 1.24.10 (пакеты gst-plugins-good, gst-plugins-base, gstreamer-plugins-ogg, gstreamer-plugins-opus, gstreamer-plugins-vorbis). Помимо 29 уязвимостей, выявленных исследователями из GitHub Security Lab, в версии 1.24.10 заявлено об исправлении ещё 11 уязвимостей. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. В большинстве дистрибутивов с GNOME компонент tracker-miners активируется по умолчанию и загружается как жёсткая зависимость к файловому менеджеру Nautilus (GNOME Files). Для отключения tracker-miners можно использовать команды:


   systemctl list-unit-files | grep 'tracker'
   systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
   tracker reset --hard


  1. Главная ссылка к новости (https://github.blog/security/v...)
  2. OpenNews: Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS
  3. OpenNews: Уязвимости в ядре Linux, Glibc, GStreamer, Ghostscript, BIND и CUPS
  4. OpenNews: Уязвимости в VLC и GStreamer, способные привести к выполнению кода при обработке контента
  5. OpenNews: Доступен мультимедийный фреймворк GStreamer 1.22.0
  6. OpenNews: Уязвимости в GStreamer, приводящие к выполнению кода при обработке файлов SRT и PGS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62441-gstreamer
Ключевые слова: gstreamer
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (109) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Афроним (?), 12:44, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зато легче для кодера чем ффмпег.
     
     
  • 2.37, Аноним (-), 16:24, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Зато легче для кодера чем ффмпег.

    Конечно легче - вон насколько оно "перфорированно".
    Зато потешатся любители экономить каждый байт памяти и не важно, что дырявое)

     
  • 2.115, Skullnet (ok), 02:19, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Видимо никогда не пробовал его юзать, документации по нему ноль. Если что-то не работает, то хз почему. Лучше уж ффмпег.
     

  • 1.2, Аноним (2), 12:50, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Сишные указатели)
     
     
  • 2.16, Аноним (16), 13:19, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе что взломали через них?
     
     
  • 3.51, Аноним (51), 17:10, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Brain
     
     
  • 4.122, Аноним (122), 05:02, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    К счастью, он, всё равно, не использовался.
     
  • 4.134, Аноним (2), 21:26, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, Brain то явно через указатели ломали. Указали куда надо, а там полный беспредел.
     
  • 2.19, Аноним (19), 13:28, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А, всё прочее - не указатели, учим матчатсть...
     
  • 2.53, Аноним (51), 17:12, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Указатели есть везде, даже в Паскале. Просто не все их показывают.
     
     
  • 3.102, Аноним (102), 20:39, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Указателей практически нигде нет, исключение это си, плюсы, и ещё сравнительно небольшой список языков. В других языках ссылки. Ссылки не допускают арифметики укзателей, произвольных преобразования, ссылок на несуществующие участки памяти и так далее. Даже с учётом указателей, можно взять зависимые типы и строго контролировать происходящее. Но сишники слишком увлечены порчей памяти, чтобы знать об этом.
     
     
  • 4.120, Аноним (120), 04:27, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как мне тогда прочитать данные из устройства по адресу 0xacabb33f
     
     
  • 5.132, YetAnotherOnanym (ok), 20:43, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо читать данные по адресу, это дырень же ж!
     
  • 5.148, Аноним (148), 11:13, 24/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    По ссылке и прочитать. http://0xacabb33f
     
  • 4.121, anonymos (?), 04:29, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Когда ты пишешь очередную формочку с кнопочками, тогда указатели не нужны.
    А вот когда работаешь с железом, то "я их дом труба шатал", кто думает что лучше меня знает, как нужно сделать в данном конкретном случае. Указатели - это свобода реализации своих замыслов.
     
  • 4.147, Бывалый Смузихлёб (ok), 10:17, 24/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    тогда почему в разных ЯП столько дыр с памятью если почти везде ссылки которые практически ничего не допускают и почти всё контролируют ?
     
     
  • 5.149, Аноним (149), 18:30, 25/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    10 лет работаю с дотнетом, не видел уязвимостей с памятью ни разу.
     
     
  • 6.150, EULA (?), 06:58, 26/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому в .Net столько CVE, позволяющих выполнить произвольный код или переписать занятый участок памяти...
     
  • 3.106, Аноним (-), 21:00, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > не все их показывают.

    Я б сказал, не все доверяют программисту работать с указателями так, как тому захотелось.

     
     
  • 4.138, Дмитрий (??), 12:24, 22/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    A нужно наказывать!
     

  • 1.3, Аноним (3), 12:50, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    нахрен gstreamer кстати? есть же ffmpeg.
     
     
  • 2.7, Аноним (7), 13:06, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень, но факт). Вот и носятся с ним.
     
     
  • 3.12, Аноним (12), 13:11, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень

    вас там двое в одной голове ? второй кстати прав

     
     
  • 4.29, Аноним (12), 15:25, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > второй кстати прав

    а это для первого

    https://theirstack.com/en/technology/ffmpeg/us

     
  • 3.13, Аноним (3), 13:12, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а че, как с freetype нельзя? в их сша-френдли репах поставлять ffmpeg без поддержки мпега (через какой-нибудь -DENABLE_MPEG=0), но позволять заменять ffmpeg другими билдами, где мпег включен. С freetype-ом так и было: в федоре шел без поддержки subpixel antialias, но в rpmfusion он был включен. Так что вопрос открытый: нахрена gstreamer, когда можно без gstreamer.
     
  • 2.11, Аноним (11), 13:10, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прежде чем задавать такой вопрос, тебе надо бы понять что такое ffmpeg и что такое gstreamer. Тогда твой вопрос перестанет иметь смысл.
     

  • 1.4, Аноним (4), 12:51, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Совет в конце статьи нерабочий на не древних дистрибутивах, гении из GNOME переименовали tracker miner на TinySPARQL.
     
     
  • 2.14, Аноним (14), 13:15, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Из eng wiki:
    "TinySPARQL is a general-purpose SPARQL-based database;"
    В debian testing никакой tinysparql нет.
    Есть библиотека базы данных libtracker-sparql для tracker.
    Сами сервисы в пакетах tracker, tracker-miner-fs, tracker-extract и маскировать надо их.
     
  • 2.33, Аноним (33), 15:55, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Переименовали , потому что в tracker-miners одна уязвимость за другой. Совет тут простой. GNOME и подобные жирные куски раздать нуждающимся, а самому воздержаться.
     

  • 1.5, НяшМяш (ok), 12:53, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    KDE с выходом 6 плазмы перетащил свой Phonon на libvlc. Интересно было бы там уязвимости глянуть.
     
     
  • 2.10, Аноним (7), 13:10, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Phonon чисто kde-либа а кедовский плеер сильно проигрывает тому же mpv (имхо самый нормальный плеер для линукса). Так что - эталонное ненужно.
     
  • 2.26, Вы забыли заполнить поле Name (?), 15:02, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Интересно было бы там уязвимости глянуть.

    Дык глянь или моск совсем уже оджавпскриптился

     
     
  • 3.27, Аноним (-), 15:17, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Интересно было бы там уязвимости глянуть.
    > Дык глянь

    Зачем? Проще подождать и почитать на опеннете очередную новость "в libvlc нашли уязвимости"

    > или моск совсем уже оджавпскриптился

    фу как некрасиво, тебе бы поработать над своим воспитанием, раз родители недоработали.

     

  • 1.15, Аноним (16), 13:17, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О нет злоумышленник может уронить плеер с хентаем со сторонней акдиодородкой какой ужыс. Срочно переписать.
     
     
  • 2.18, Аноним (19), 13:26, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это библиотеку куда только не пихают...
     
     
  • 3.21, Афроним (?), 13:39, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Протон сидит.( Протон одна из наиважнейших апликух в невиндовом мире. )
     
     
  • 4.23, Аноним (19), 14:09, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да статье же указанно - "в приложениях Nautilus (GNOME Files), GNOME Videos и Rhythmbox, а также в развиваемом проектом GNOME поисковом движке tracker-miners" т.е.он там ~облачно сканируя сеть скачивая затрояненне видоролики сам... - мало что ли?
    (т.б.в условии неиспользвоании доп..аккаунта под каждое такое приложение... т.е.типично).
     
  • 2.25, Rev (ok), 14:47, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты можешь скачать аудиокнигу, а она автоматом скачает на сервер злоумышленника все твои файлы с паролями.
     
     
  • 3.44, Аноним (44), 16:44, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вывод: не стоит хранить файлы с паролями.
     
  • 3.55, Аноним (16), 17:17, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это ты сам долумал как про бабайку. Через сабжевые уязвимости за всю историю не было ни одного взлома.
     
  • 2.42, Аноним (42), 16:36, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а также субтитров
    > индексирует все файлы в домашнем каталоге без каких-либо действий со стороны пользователя

    Т.е ты скачал субтитры для своего хентая, а оно похакало твой комп просто в момент "сохранил на в папку download"
    Звучит нормально для СИшных проектов и ГНОМа)).

     

  • 1.22, Аноним (-), 14:03, 20/12/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –3 +/
     
  • 1.28, Аноним (28), 15:18, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Он же на C, что ещё было ожидать? По этой причине не стали его использовать в своё время. И ещё из-за невменяемой схемы распространения с невменяемым разделением плагинов на good/bad/ugly.
     
     
  • 2.54, Аноним (51), 17:15, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    FFmpeg на Rust переписали?
     
     
  • 3.56, Аноним (16), 17:18, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Даже на Аду не переписали.
     
  • 3.74, Аноним (-), 18:02, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > FFmpeg на Rust переписали?

    Нет конечно. Это же огроменный кусок ка... кода.
    Да и диды копротивляются переписыванию, поэтому по частям не перепишешь. А переписывать все сразу - это очень долго, все-таки кодовая база большая - пилят почти четверть века.

    А вот отдельные кодеки и сопутствующее на раст перерисывают -  rust-av, rav1e, rav1d, ivf-rs, matroska, ffv1, av-mp4, lewton и тд. Но понятно что процесс будет не быстры.

     
     
  • 4.89, Аноним (44), 18:45, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А где же нейросети, про которые столько говорят? Вот, мол, нейросеть перепишет весь код с "дыряшки" на Раст?
     
     
  • 5.92, Аноним (92), 18:52, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А где же нейросети, про которые столько говорят?
    > Вот, мол, нейросеть перепишет весь код с "дыряшки" на Раст?

    Эм... кто такое говорит? Я слышал из реального только одни экспериментальный проект у DARPA (opennet.ru/opennews/art.shtml?num=61656). И больше про него ничего слышно не было.
    А если ты про местных комментаторов... То пфффф.

    Основная проблема что тебе нужно сеть на чем-то обучить.
    А большая часть си кода - это лютый 6ыdloкод без проверок, с нарушением прав владения (да, в сишке нет явного borrowing, но неявный есть всегда и его все равно нужно соблюдать), поточности и тд.
    Как ты его на раст оттранслируешь? Оно просто не скомпилируется.
    Там местами вообще архитектуру менять придется.


     

  • 1.31, 12yoexpert (ok), 15:37, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    исследование от майкрософт, которые пытаются везде пропихнуть раст, о том, что везде нужно пропихнуть раст. классика, но уже скучно
     
     
  • 2.35, Аноним (35), 16:13, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да, все уже привыкли к уязвимостям и тому, что всё кругом дырявое. Вяло уже как-то. А если уязвимостей будет ещё меньше, так станет ещё скучнее. А хочется-то веселухи.
     
     
  • 3.78, 12yoexpert (ok), 18:25, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    посмотрю я на тебя через пару лет, когда у тебя в coreutils реклама будет, а отключить ты её не сможешь, потому что всё уже будет на раст, зависящее от сотни фреймфорков и не работающее без цифровой подписи майкрософт
     
     
  • 4.91, Аноним (-), 18:49, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > посмотрю я на тебя через пару лет, когда у тебя в coreutils реклама будет, а отключить ты её не сможешь, потому что всё уже будет на раст, зависящее от сотни фреймфорков и не работающее без цифровой подписи майкрософт

    Охохоюшки, вот это поток мысли!

    Но если опускаться на твой уровень...
    То во-первых, типа нельзя будет опенсорсные uutils (coreutils на расте и благословенной свободной MIT) форкнуть и делать с ними что пожелаешь?
    А во вторых, на сишке написанно куча проприетарного софта и всем пофиг.

    ps ты главное закрывай замки понадежнее, а вдруг придет майкрософт и запилит тебе двери свой цифровой под-пись-ю))

     
     
  • 5.142, InuYasha (??), 21:06, 22/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не смешно потому что ЦП M$ уже давно уровнем ниже coreutils сидит.

    И не так страшна реклама которую смотришь ты, как реклама которая смотрит тебя.

     
  • 4.104, Аноним (102), 20:48, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У параноиков не возникает вопрос как си защитит их от цифровой подписи, они строго уверены, что цифровая подпись возможна только на растие. А ещё параноики не доверяют фреймворкам, и пишут код каждый раз с нуля, заново собирая все баги.
     
     
  • 5.118, 12yoexpert (ok), 04:15, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > что цифровая подпись возможна только на растие

    где ты это прочитал?

     
  • 2.39, Аноним (-), 16:28, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > исследование от майкрософт, которые пытаются везде пропихнуть раст, о том, что везде нужно пропихнуть раст. классика, но уже скучно

    Хм.. т.е это наймиты мелкомягких проникли в команду Г-стримера (код с большой буквы Г) и сделали все эти ошибки-уязвимости?

    Какое коварство!
    Уже не в первый раз растовики подбрасывают код в штаны СИшникам.
    Надо с этим срочно что-то делать!

     
     
  • 3.41, Аноним (35), 16:33, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Надо с этим срочно что-то делать!

    Добавить статических анализаторов, срочно. И ещё, это ... как там, забыл. Блин, важное что-то ... а, просто уметь писать код. Вот тогда уж заживём, и никакой раст не нужен будет.

     
     
  • 4.48, Аноним (-), 17:00, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Погоди, Настоящий СИшник пишет отличный код и без всяких анализаторов и прочих смузихлебных новинок.
    Вон диды написали кучу кода "на котором мир держится". Такие чудесные проекты как ХОрг, ж-либ-с, ядро линукс.

    Ты бы еще предложил на этапе компиляции проверять, чтобы никакой указатель не испортился, чтобы все висячие ссылки проверялись.
    А что дальше? Может боровчекер добавить?!
    Да ты небось растовик в майкрософте работаешь!!

     
  • 4.57, Аноним (16), 17:18, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Где переписанное на Раст или аду?
     
  • 3.124, Аноним (122), 05:12, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Начните срочно анализировать код на Rust'е. И под unsafe-ковер не забудьте заглянуть. Узнаете много нового об уязвимостях.
     

  • 1.34, Аноним (35), 16:11, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    При этом, люди постоянно удивляются - "ну зачем они опять переписывают на раст то, что уже и так написано? Только и могут, что переписывать!"

    Главное, когда такие вопросы задаёшь, игнорировать реальность и не замечать новостей про десятки уязвимостей из-за ошибок работы с памятью в одном лишь приложении.

    А если даже и замечать, то говорить "ну и что, тебе же ничего через них не сломали!".

    Сишкофилам хочется пожелать одного: давайте вы весь военный софт на своей сишечке напишете? Хельсинг вон все бортовые системы управления боевыми дронами пишет на расте. А потом сравним. Как это один известный человек сказал - проведём высокотехнологический эксперимент.

     
     
  • 2.43, ijuij (?), 16:39, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто переход на Rust не уберет уязвимости, они просто изменят свою форму. Не забывай об этом! 🛡️

     
     
  • 3.45, Аноним (35), 16:49, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если у тебя 50% всех уязвимостей происходят из-за работы с памятью, то уязвимостей станет в два раза меньше. Их не останется столько же в изменённой форме, их станет в два раза меньше. Причём именно они обычно связаны с RCE.
     
     
  • 4.49, Аноним (-), 17:01, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Если у тебя 50% всех уязвимостей происходят из-за работы с памятью

    Ну, в данном конкретном случае все 100% - это проблемы с памятью.
    Даже всякие Integer underflow потом стреляют из-за OOB.

    Но дыряшечники будут "лепить галимые отмазы":

    - зачем это если есть ffmpeg
    (ахаха, а типа ffmpeg не такое же омнище с Integer Overflow CVE-2024-35366, Double Free CVE-2024-35368 и Out-of-bounds Read CVE-2024-35367)

    - это специально так написали, потому что им так заказали
    (ребята, у вас все сишные продукты дырявые, в таком случае всех уже купили и вообще никому доверять нельзя)

    - это не настоящий сишник, вот настоящий бы никогда!
    (а настоящих не существует, хехе)

     
     
  • 5.52, Аноним (35), 17:10, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > зачем это если есть ffmpeg

    Причём, этот ффмпег точно также можно было бы и на расте написать. Всё с теми же ассемблерными вставками, которые раст поддерживает.

     
  • 5.101, Аноним (101), 20:37, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > в данном конкретном случае все 100% - это проблемы с памятью.

    Это смещённость выборки. Там coverage driven fuzzing использовался, но к нему необходим какой-то алгоритмический способ выявления косяков, и я подозреваю, что автор использовал что-то типа valgrind'а, который детектировал именно ошибки работы с памятью, не замечая никаких других. То есть, в этом списке не могли возникнуть ошибки не сводящиеся к неправильной работе с памятью. Невозможно по этому исследованию судить о том, сколько там ошибок другого типа.

     
     
  • 6.109, Аноним (109), 21:26, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На 100 уверены Тут есть пройтись по тегу GStreamer, то увидим забавный список ... большой текст свёрнут, показать
     
     
  • 7.112, Аноним (112), 22:49, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть разница между объяснить происходящее и сделать из происходящего дальнейш... большой текст свёрнут, показать
     
  • 5.103, Аноним (102), 20:44, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Даже всякие Integer underflow потом стреляют из-за OOB.

    Специально против такого и придуманы зависимые типы. Но опять же, сишникам некогда читать матан, они дырки плодят.

     
  • 4.58, Аноним (16), 17:20, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И сколько реалтных проблем причинили эти уязвимости нуль? И это при том что самые большие утечки происходят по причине неправильной обработки путей. При том что Раст тоже неправильно обрабатывает пути.  
     
     
  • 5.133, Аноним (133), 21:06, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А вот и отмазка нумер 42 из 100500
     
  • 2.77, Вы забыли заполнить поле Name (?), 18:09, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну напиши такой же плеер по функционалу. Пока все что виду от местных любителей — комментарии.
     
     
  • 3.88, Аноним (88), 18:45, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну напиши такой же плеер по функционал

    Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer сами на Раст давно перекатываются:

    https://gstreamer.freedesktop.org/releases/1.22/

    "33% of GStreamer commits are now in Rust (bindings + plugins), and the Rust plugins module is also where most of the new plugins are added these days."

     
     
  • 4.93, Аноним (-), 18:54, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer сами на Раст давно перекатываются:
    > https://gstreamer.freedesktop.org/releases/1.22/

    Ого, спасибо за уточнение.
    Конечно bindings + plugins это только начало, но самый трудный - первый шаг.

    > "33% of GStreamer commits are now in Rust (bindings + plugins), and the Rust plugins module is also where most of the new plugins are added these days."

    Жду с нетерпением анонса переделывания основного проекта.
    Тогда точно в комментах будут полыхающие седалища.

     
     
  • 5.117, Аноним (12), 03:36, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Жду с нетерпением анонса переделывания основного проекта.

    геморой насидишь, 5 звёзд за несколько лет на гихабе намекают тебе об охеренной нужности расто-плугинов

    https://github.com/GStreamer/gst-plugins-rs

     
     
  • 6.119, Аноним (119), 04:26, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > звёзд за несколько лет на гихабе намекают

    А "mirrored from https://gitlab.freedesktop.org/gstreamer/gst-plugins-rs.git" тебе ни на что не намекает?

     
     
  • 7.129, Аноним (12), 09:40, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А "mirrored from https://gitlab.freedesktop.org/gstreamer/gst-plugins-rs.git&... тебе ни на что не намекает?

    да - это зеркало! Сравно с зеркалом linux

    https://github.com/torvalds/linux

     
  • 4.94, Аноним (-), 18:57, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer
    > сами на Раст давно перекатываются:

    Сделать биндинги и разрешить писать плагины - это не называется перекатываться.
    Ползут в направлении в лучшем случае.
    Но сам факт удивляет, это да.

     
  • 4.95, Вы забыли заполнить поле Name (?), 18:58, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну напиши такой же плеер по функционал
    > Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer
    > сами на Раст давно перекатываются:

    А ну как обычно. Зачем писать что-то, если можно паразитировать и переписывать. Типикал.

     
     
  • 5.97, Аноним (-), 19:04, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Зачем перестраивать дом если можно жить в землянке?
    Зачем делать нормальный санузел, если можно бегать на улицу?
    Зачем делать нормально, если можно кушать уязвимый код и нахваливать?

    Твой в-сер особенно смешной с учетом того, что "паразитировать и переписывать" начали сами разработчики GStreamerʼа.
    На ком они паразитируют, гений?

     
     
  • 6.99, Вы забыли заполнить поле Name (?), 20:06, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Зачем перестраивать дом если можно жить в землянке?
    > Зачем делать нормальный санузел, если можно бегать на улицу?
    > Зачем делать нормально, если можно кушать уязвимый код и нахваливать?

    Мастер сравнений просто. Ну если тебе будет удобнее так, то ты не сам дом построил, а пришел в уже готовый и начал хозяйничать без спроса.

    > Твой в-сер особенно смешной с учетом того, что "паразитировать и переписывать" начали
    > сами разработчики GStreamerʼа.
    > На ком они паразитируют, гений?

    И? А ты такой радостный что кто-то там начал что-то переписывать? Ведь за 15 лет нельзя было написать свой, а не ждать. Стыдно должно быть тебе. Позор!

     
     
  • 7.107, Аноним (-), 21:06, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ого, а на доме кто написал д 822 о 822 м 822 822 с 822 в 822 о 822 б 8... большой текст свёрнут, показать
     
     
  • 8.135, Вы забыли заполнить поле Name (?), 00:13, 22/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нормально у тебя работает явно не плеер на расте, которого нет Значит ты 15 лет... текст свёрнут, показать
     
  • 8.136, Вы забыли заполнить поле Name (?), 00:49, 22/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А какой сейчас Ноль ... текст свёрнут, показать
     
  • 4.116, Аноним (12), 03:30, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > 33% of GStreamer commits are now in Rust

    это два года назад было, сейчас уже 101%. Там самый буйный переписыватель, я с ним как-то пересекался в одном опенсорсном проекте, он предлагал мне мой патч выпилить чтобы его патч заработал. Причём его патч абсолютно левый - какие-то никому ненужные нестандартные форматы добавлял. Мой патч исправлял баг вендорского ядра - там не принимают сторонние патчи, поэтому пришлось локальный костыль делать, собственно весь плагин был под это ядро написан. Ну т.е. понятно да - хер на вас, не важно что перестанет работать, главное чтобы у него заработало :) видимо на заказах сидит и надо стало.

     
  • 2.86, Аноним (88), 18:39, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > люди постоянно удивляются - "ну зачем они опять переписывают на раст то, что уже и так написано? Только и могут, что переписывать!"

    Удивляютя сугубо опеннетные комментаторы - те, которые к разработке ПО никакого отношения не имеют.

    Причем на поверку как правило оказывается, что чем меньше персонаж шарит в C, тем сильнее он воюет против Раста.

     
     
  • 3.105, Аноним (-), 20:55, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Может это синдром утенка?
    Это как футбольные и прочие фанаты - готовы бить физиономии тем кто обозвал их любимую команду кривоногими инвалидами.
    Думаю тут такое же - с детства им вбивали в голову что есть один идеальный ЯП созданный гениальным коммитетом и вообще самый лучший.
    А тут приходят какие-то сопляки и говорят "да у вас тут дыреней как в шапке почтальона Печкина!".
    Естественно это вызывает баттхерт и гневные вопли.
    А потом когда начинаешь задавать вопрос по сonformance они чего-то сливаются.
     
  • 2.131, Аноним (12), 10:28, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Хельсинг вон все бортовые системы управления боевыми дронами пишет на расте.

    это он вам сам сказал ? так вы тоже говорите - проверить всё равно невозможно

     

  • 1.46, Аноним (46), 16:56, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    GStreamer - это предшественник PipeWire. Написать адаптер, выкинуть оригинал, и забыть.
     
     
  • 2.50, Аноним (-), 17:02, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нельзя.
    Начнется воняние "на моем ядре 2.3 оно не запустится! как вы посмели что-то выкидывать" и тд
    То что мы видим в каждой первой теме про выпиливания некрокода.
     
     
  • 3.81, Аноним (81), 18:29, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какая проблема сделать другу версию, а не выкидывать все подряд что и так работает.
     
     
  • 4.108, Аноним (-), 21:10, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, а теперь поддерживать 2 куска кода.
    Проводить тестирование, отслеживать регрессии.
    Это же так просто, когда этим занимается кто-то другой!
     
  • 3.126, Аноним (126), 07:55, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну бэкпортировать на старые ядра. Линус же юзерспейс не ломает, должно быть сравнительно легко.
     
  • 2.113, Анонем (?), 00:29, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > GStreamer - это предшественник PipeWire.

    Вроде не совсем так. У них разные задачи. Условно говоря, GStreamer это обработка и декодирование потоков. А Pipewire – диспетчеризация. Наверное, теоретически, можно реализовать кодеки и всякие эффекты внутри Pipewire, но зачем?

     
     
  • 3.127, Аноним (126), 07:56, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В общем сильно опоздавший клон Windows Media Foundation.
     

  • 1.76, Вы забыли заполнить поле Name (?), 18:07, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Запускаю плееры в изоляции уже давно и вам советую.
     
     
  • 2.143, InuYasha (??), 21:08, 22/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Изоляция синяя, всё по ко канонам? Или новомодной термоусадкой? :-/
     

  • 1.83, Аноним (83), 18:32, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >systemctl

    А без systemd? Или это только с системгой и гомом? То бишь, сферически и в вакууме?

     
  • 1.87, Аноним (87), 18:43, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Гном-сервис который автоматически находит и запускает экспоиты это уже или ещё не совсем год линукса на дескпопе?
     
  • 1.110, Анонимусс (-), 21:35, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ого, а новость обновилась.

    > Помимо 29 уязвимостей, выявленных исследователями из GitHub Security
    > Lab, в версии 1.24.10 заявлено об исправлении ещё 11 уязвимостей.

    Прям какое-то сишное бинго сегодня!
    Они бы еще написали сколько лет каждая из дыреней жила в этом прекрасном коде,
    написсаном луДшими погромистами современности!

    Может еще не вечер, и что-то еще найдут?))

     
  • 1.111, Аноним (-), 21:40, 20/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  Помимо 29 уязвимостей, выявленных исследователями из GitHub Security Lab, в версии 1.24.10 заявлено об исправлении ещё 11 уязвимостей.

    Да что ж такое!
    Надо срочно запретить статические анализаторы, а то они показывают дидов в нехорошем виде.
    И вгоняют фанатиков небезопасных языков в депрессию)

     
     
  • 2.114, Аноним (-), 00:57, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это не статические анализаторы, а coverage driven fuzzing Идея в том, что фаззе... большой текст свёрнут, показать
     

  • 1.125, Циноман (?), 05:13, 21/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Советующие rust, вы правда считаете, что ЯП, ПО на котором нельзя адекватно собрать оффлайн без добавки на несколько попядков большего числа исодников, прям безопаснее?
    Довольно печальная ведь получается математика.
     
     
  • 2.128, ТожеРусский (ok), 08:46, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял, а если ты в сишной программе хочешь использовать уже ранее написанный код, то как ты это сделаешь без этого написанного кода? Без ... исходников? С уже собранной библой слинкуешься что ли? А чем это более безопасно, по сравнению со сбором исходников?
     
     
  • 3.130, Аноним (130), 10:00, 21/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В сишных программах не учатся жрать с пола исходники, когда надо написать лефтпад, в сишных пргограммах либо он есть в базовой либе, либо пишется с руки.
     
     
  • 4.137, ТожеРусский (ok), 08:44, 22/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > в сишных пргограммах либо он есть в базовой либе, либо пишется с руки

    В сишных программах вообще дохрена чего нет, в том числе в базовой либе. И язык скудный, и стандартная библиотека. Поэтому там либо постоянно изобретают велосипед, косой и кривой, либо используют скудные технические решения, типа размещения массива на стеке потому, что в языке нет родных нормальных коллекций типа array list, linked list, hashmap, и так далее, либо всё также линкуются со сторонними либами, которые предоставляют нужное.

    Кстати, подход большой базовой либы оказался мертворожденным. Когда его придумывали ещё этого не понимали, к авторам претензий никаких нет, это было давно. А те, кто за толстую базовую либу топят сейчас просто не понимают, про что говорят. Ну просто люди не в теме развития программирования как науки.

    Стандартная библиотека - это кладбище. По своему устройству, чисто логически. Потому, что она призвана быть надёжным основанием для программ, которые пишутся на языке. Это значит, что в ней нельзя или очень нежелательно ломать совместимость. Это значит, что если у присутсвующего там решения появляется существенно лучшая альтернатива, то старьё в этой библиотеке остаётся мёртвым грузом, потому что все переходят на стороннее решение. Со временем библиотека начинает представлять из себя кучу мёртвого API которое никто не использует, кроме старого кода, который никто не хочет переписывать под новый API. Такая судьба постигает все, абсолютно все стандартные библиотеки. Python, Java, Scala, C++, и так далее.

    Поэтому в идеале стандартную библиотеку делают минимальной - только самое необходимое, что нужно везде и всегда.

    Разумеется сишники, живущие в изоляции от внешнего мира последние 30 лет ничего этого не знают и не понимают. Только раст их разбудил из глубокого сна, они такие вылезли типа чё, чё это у вас тут, код какой-то переиспользуете, фичи языка какие-то не такие, как у нас было принято 30 лет назад.

    Умойтесь, блин. Проснитесь уже.

     
     
  • 5.139, Аноним (-), 12:51, 22/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Поэтому в идеале стандартную библиотеку делают минимальной - только самое необходимое, что нужно везде и всегда.

    Вот только "что нужно везде и всегда" очень разнится от сферы применения.
    Для МК и прочей эмбедовки нужно миниально.
    Для системщины - уже более.
    А для прикладного, можно и целую кучу ункций и возможностей использовать.

    Например, нужен ли класс/структура/объект String ?
    А ведь в СИшке из коробки их нет до сих пор, а в плюсы добавили не в первую версию.
    В итоге - парад велосипедов, постоянные проблемы и даже порожденные ими CVEшки.

     
     
  • 6.145, Аноним (145), 05:36, 23/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот только "что нужно везде и всегда" очень разнится от сферы применения. Для МК и прочей эмбедовки нужно миниально.

    Да, в расте это решено через то, что стандартная библиотека - опциональна. При этом куча хороших, сторонних библиотек под раст умеют собираться в режиме «без стд», что позволяет переиспользовать кучу полезного кода даже там, где нет операционной системы.

    При этом на уровне «без стд» всё равно есть какие-то типы, которые ваще самые самые базовые, фактически часть языка.

     
  • 6.146, Аноним (145), 05:39, 23/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > В итоге - парад велосипедов, постоянные проблемы и даже порожденные ими CVEшки.

    Парад велосипедов был бы в любом случае, вопрос только в том, где - как опциональные либы на выбор или как часть базовой библиотеки.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру