The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В мультимедийном фреймворке GStreamer выявлено 29 уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В мультимедийном фреймворке GStreamer выявлено 29 уязвимостей"  +/
Сообщение от opennews (?), 20-Дек-24, 12:44 
В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 29 уязвимостей. Восемь уязвимостей приводят к записи данных за пределы буфера, а одна (CVE-2024-47540) к перезаписи указателя на функцию. Указанные уязвимости могут потенциально использоваться злоумышленниками для организации выполнения кода при обработке некорректно оформленных мультимедийных данных в форматах MKV, MP4,  Ogg, Vorbis и Opus, а также субтитров в формате SSA. Остальные уязвимости приводят к разыменованию нулевого указателя или чтению из области памяти за границей буфера, т.е. могут использоваться для инициирования аварийного завершения...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=62441

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Афроним (?), 20-Дек-24, 12:44 
Зато легче для кодера чем ффмпег.
Ответить | Правка | Наверх | Cообщить модератору

37. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 16:24 
> Зато легче для кодера чем ффмпег.

Конечно легче - вон насколько оно "перфорированно".
Зато потешатся любители экономить каждый байт памяти и не важно, что дырявое)

Ответить | Правка | Наверх | Cообщить модератору

115. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Skullnetemail (ok), 21-Дек-24, 02:19 
Видимо никогда не пробовал его юзать, документации по нему ноль. Если что-то не работает, то хз почему. Лучше уж ффмпег.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +7 +/
Сообщение от Аноним (2), 20-Дек-24, 12:50 
Сишные указатели)
Ответить | Правка | Наверх | Cообщить модератору

16. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (16), 20-Дек-24, 13:19 
Тебе что взломали через них?
Ответить | Правка | Наверх | Cообщить модератору

51. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +3 +/
Сообщение от Аноним (51), 20-Дек-24, 17:10 
Brain
Ответить | Правка | Наверх | Cообщить модератору

122. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (122), 21-Дек-24, 05:02 
К счастью, он, всё равно, не использовался.
Ответить | Правка | Наверх | Cообщить модератору

19. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (19), 20-Дек-24, 13:28 
А, всё прочее - не указатели, учим матчатсть...
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

53. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (51), 20-Дек-24, 17:12 
Указатели есть везде, даже в Паскале. Просто не все их показывают.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

102. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (102), 20-Дек-24, 20:39 
Указателей практически нигде нет, исключение это си, плюсы, и ещё сравнительно небольшой список языков. В других языках ссылки. Ссылки не допускают арифметики укзателей, произвольных преобразования, ссылок на несуществующие участки памяти и так далее. Даже с учётом указателей, можно взять зависимые типы и строго контролировать происходящее. Но сишники слишком увлечены порчей памяти, чтобы знать об этом.
Ответить | Правка | Наверх | Cообщить модератору

120. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (120), 21-Дек-24, 04:27 
Как мне тогда прочитать данные из устройства по адресу 0xacabb33f
Ответить | Правка | Наверх | Cообщить модератору

121. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от anonymos (?), 21-Дек-24, 04:29 
Когда ты пишешь очередную формочку с кнопочками, тогда указатели не нужны.
А вот когда работаешь с железом, то "я их дом труба шатал", кто думает что лучше меня знает, как нужно сделать в данном конкретном случае. Указатели - это свобода реализации своих замыслов.
Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

106. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (-), 20-Дек-24, 21:00 
> не все их показывают.

Я б сказал, не все доверяют программисту работать с указателями так, как тому захотелось.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

3. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (3), 20-Дек-24, 12:50 
нахрен gstreamer кстати? есть же ffmpeg.
Ответить | Правка | Наверх | Cообщить модератору

7. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +4 +/
Сообщение от Аноним (7), 20-Дек-24, 13:06 
ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень, но факт). Вот и носятся с ним.
Ответить | Правка | Наверх | Cообщить модератору

12. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (12), 20-Дек-24, 13:11 
> ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень

вас там двое в одной голове ? второй кстати прав

Ответить | Правка | Наверх | Cообщить модератору

29. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (12), 20-Дек-24, 15:25 
> второй кстати прав

а это для первого

https://theirstack.com/en/technology/ffmpeg/us

Ответить | Правка | Наверх | Cообщить модератору

13. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (3), 20-Дек-24, 13:12 
а че, как с freetype нельзя? в их сша-френдли репах поставлять ffmpeg без поддержки мпега (через какой-нибудь -DENABLE_MPEG=0), но позволять заменять ffmpeg другими билдами, где мпег включен. С freetype-ом так и было: в федоре шел без поддержки subpixel antialias, но в rpmfusion он был включен. Так что вопрос открытый: нахрена gstreamer, когда можно без gstreamer.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (11), 20-Дек-24, 13:10 
Прежде чем задавать такой вопрос, тебе надо бы понять что такое ffmpeg и что такое gstreamer. Тогда твой вопрос перестанет иметь смысл.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (4), 20-Дек-24, 12:51 
Совет в конце статьи нерабочий на не древних дистрибутивах, гении из GNOME переименовали tracker miner на TinySPARQL.
Ответить | Правка | Наверх | Cообщить модератору

14. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (14), 20-Дек-24, 13:15 
Из eng wiki:
"TinySPARQL is a general-purpose SPARQL-based database;"
В debian testing никакой tinysparql нет.
Есть библиотека базы данных libtracker-sparql для tracker.
Сами сервисы в пакетах tracker, tracker-miner-fs, tracker-extract и маскировать надо их.
Ответить | Правка | Наверх | Cообщить модератору

33. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (33), 20-Дек-24, 15:55 
Переименовали , потому что в tracker-miners одна уязвимость за другой. Совет тут простой. GNOME и подобные жирные куски раздать нуждающимся, а самому воздержаться.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +4 +/
Сообщение от НяшМяш (ok), 20-Дек-24, 12:53 
KDE с выходом 6 плазмы перетащил свой Phonon на libvlc. Интересно было бы там уязвимости глянуть.
Ответить | Правка | Наверх | Cообщить модератору

10. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (7), 20-Дек-24, 13:10 
Phonon чисто kde-либа а кедовский плеер сильно проигрывает тому же mpv (имхо самый нормальный плеер для линукса). Так что - эталонное ненужно.
Ответить | Правка | Наверх | Cообщить модератору

26. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 15:02 
> Интересно было бы там уязвимости глянуть.

Дык глянь или моск совсем уже оджавпскриптился

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

27. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (-), 20-Дек-24, 15:17 
>> Интересно было бы там уязвимости глянуть.
> Дык глянь

Зачем? Проще подождать и почитать на опеннете очередную новость "в libvlc нашли уязвимости"

> или моск совсем уже оджавпскриптился

фу как некрасиво, тебе бы поработать над своим воспитанием, раз родители недоработали.

Ответить | Правка | Наверх | Cообщить модератору

15. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (16), 20-Дек-24, 13:17 
О нет злоумышленник может уронить плеер с хентаем со сторонней акдиодородкой какой ужыс. Срочно переписать.
Ответить | Правка | Наверх | Cообщить модератору

18. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (19), 20-Дек-24, 13:26 
Это библиотеку куда только не пихают...
Ответить | Правка | Наверх | Cообщить модератору

21. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Афроним (?), 20-Дек-24, 13:39 
В Протон сидит.( Протон одна из наиважнейших апликух в невиндовом мире. )
Ответить | Правка | Наверх | Cообщить модератору

23. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (19), 20-Дек-24, 14:09 
Да статье же указанно - "в приложениях Nautilus (GNOME Files), GNOME Videos и Rhythmbox, а также в развиваемом проектом GNOME поисковом движке tracker-miners" т.е.он там ~облачно сканируя сеть скачивая затрояненне видоролики сам... - мало что ли?
(т.б.в условии неиспользвоании доп..аккаунта под каждое такое приложение... т.е.типично).
Ответить | Правка | Наверх | Cообщить модератору

25. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Rev (ok), 20-Дек-24, 14:47 
Ты можешь скачать аудиокнигу, а она автоматом скачает на сервер злоумышленника все твои файлы с паролями.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

44. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (44), 20-Дек-24, 16:44 
Вывод: не стоит хранить файлы с паролями.
Ответить | Правка | Наверх | Cообщить модератору

55. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (16), 20-Дек-24, 17:17 
Это ты сам долумал как про бабайку. Через сабжевые уязвимости за всю историю не было ни одного взлома.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

42. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Аноним (42), 20-Дек-24, 16:36 
> а также субтитров
> индексирует все файлы в домашнем каталоге без каких-либо действий со стороны пользователя

Т.е ты скачал субтитры для своего хентая, а оно похакало твой комп просто в момент "сохранил на в папку download"
Звучит нормально для СИшных проектов и ГНОМа)).

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

22. Скрыто модератором  –2 +/
Сообщение от Аноним (-), 20-Дек-24, 14:03 
Ответить | Правка | Наверх | Cообщить модератору

28. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (28), 20-Дек-24, 15:18 
Он же на C, что ещё было ожидать? По этой причине не стали его использовать в своё время. И ещё из-за невменяемой схемы распространения с невменяемым разделением плагинов на good/bad/ugly.
Ответить | Правка | Наверх | Cообщить модератору

54. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (51), 20-Дек-24, 17:15 
FFmpeg на Rust переписали?
Ответить | Правка | Наверх | Cообщить модератору

56. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (16), 20-Дек-24, 17:18 
Даже на Аду не переписали.
Ответить | Правка | Наверх | Cообщить модератору

74. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 18:02 
> FFmpeg на Rust переписали?

Нет конечно. Это же огроменный кусок ка... кода.
Да и диды копротивляются переписыванию, поэтому по частям не перепишешь. А переписывать все сразу - это очень долго, все-таки кодовая база большая - пилят почти четверть века.

А вот отдельные кодеки и сопутствующее на раст перерисывают -  rust-av, rav1e, rav1d, ivf-rs, matroska, ffv1, av-mp4, lewton и тд. Но понятно что процесс будет не быстры.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

89. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (44), 20-Дек-24, 18:45 
А где же нейросети, про которые столько говорят? Вот, мол, нейросеть перепишет весь код с "дыряшки" на Раст?
Ответить | Правка | Наверх | Cообщить модератору

92. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Аноним (92), 20-Дек-24, 18:52 
> А где же нейросети, про которые столько говорят?
> Вот, мол, нейросеть перепишет весь код с "дыряшки" на Раст?

Эм... кто такое говорит? Я слышал из реального только одни экспериментальный проект у DARPA (opennet.ru/opennews/art.shtml?num=61656). И больше про него ничего слышно не было.
А если ты про местных комментаторов... То пфффф.

Основная проблема что тебе нужно сеть на чем-то обучить.
А большая часть си кода - это лютый 6ыdloкод без проверок, с нарушением прав владения (да, в сишке нет явного borrowing, но неявный есть всегда и его все равно нужно соблюдать), поточности и тд.
Как ты его на раст оттранслируешь? Оно просто не скомпилируется.
Там местами вообще архитектуру менять придется.


Ответить | Правка | Наверх | Cообщить модератору

31. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от 12yoexpert (ok), 20-Дек-24, 15:37 
исследование от майкрософт, которые пытаются везде пропихнуть раст, о том, что везде нужно пропихнуть раст. классика, но уже скучно
Ответить | Правка | Наверх | Cообщить модератору

35. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (35), 20-Дек-24, 16:13 
Да, все уже привыкли к уязвимостям и тому, что всё кругом дырявое. Вяло уже как-то. А если уязвимостей будет ещё меньше, так станет ещё скучнее. А хочется-то веселухи.
Ответить | Правка | Наверх | Cообщить модератору

78. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от 12yoexpert (ok), 20-Дек-24, 18:25 
посмотрю я на тебя через пару лет, когда у тебя в coreutils реклама будет, а отключить ты её не сможешь, потому что всё уже будет на раст, зависящее от сотни фреймфорков и не работающее без цифровой подписи майкрософт
Ответить | Правка | Наверх | Cообщить модератору

91. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (-), 20-Дек-24, 18:49 
> посмотрю я на тебя через пару лет, когда у тебя в coreutils реклама будет, а отключить ты её не сможешь, потому что всё уже будет на раст, зависящее от сотни фреймфорков и не работающее без цифровой подписи майкрософт

Охохоюшки, вот это поток мысли!

Но если опускаться на твой уровень...
То во-первых, типа нельзя будет опенсорсные uutils (coreutils на расте и благословенной свободной MIT) форкнуть и делать с ними что пожелаешь?
А во вторых, на сишке написанно куча проприетарного софта и всем пофиг.

ps ты главное закрывай замки понадежнее, а вдруг придет майкрософт и запилит тебе двери свой цифровой под-пись-ю))

Ответить | Правка | Наверх | Cообщить модератору

104. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (102), 20-Дек-24, 20:48 
У параноиков не возникает вопрос как си защитит их от цифровой подписи, они строго уверены, что цифровая подпись возможна только на растие. А ещё параноики не доверяют фреймворкам, и пишут код каждый раз с нуля, заново собирая все баги.
Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

118. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от 12yoexpert (ok), 21-Дек-24, 04:15 
> что цифровая подпись возможна только на растие

где ты это прочитал?

Ответить | Правка | Наверх | Cообщить модератору

39. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 16:28 
> исследование от майкрософт, которые пытаются везде пропихнуть раст, о том, что везде нужно пропихнуть раст. классика, но уже скучно

Хм.. т.е это наймиты мелкомягких проникли в команду Г-стримера (код с большой буквы Г) и сделали все эти ошибки-уязвимости?

Какое коварство!
Уже не в первый раз растовики подбрасывают код в штаны СИшникам.
Надо с этим срочно что-то делать!

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

41. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Аноним (35), 20-Дек-24, 16:33 
> Надо с этим срочно что-то делать!

Добавить статических анализаторов, срочно. И ещё, это ... как там, забыл. Блин, важное что-то ... а, просто уметь писать код. Вот тогда уж заживём, и никакой раст не нужен будет.

Ответить | Правка | Наверх | Cообщить модератору

48. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 17:00 
Погоди, Настоящий СИшник пишет отличный код и без всяких анализаторов и прочих смузихлебных новинок.
Вон диды написали кучу кода "на котором мир держится". Такие чудесные проекты как ХОрг, ж-либ-с, ядро линукс.

Ты бы еще предложил на этапе компиляции проверять, чтобы никакой указатель не испортился, чтобы все висячие ссылки проверялись.
А что дальше? Может боровчекер добавить?!
Да ты небось растовик в майкрософте работаешь!!

Ответить | Правка | Наверх | Cообщить модератору

57. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (16), 20-Дек-24, 17:18 
Где переписанное на Раст или аду?
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

124. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (122), 21-Дек-24, 05:12 
Начните срочно анализировать код на Rust'е. И под unsafe-ковер не забудьте заглянуть. Узнаете много нового об уязвимостях.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

34. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +5 +/
Сообщение от Аноним (35), 20-Дек-24, 16:11 
При этом, люди постоянно удивляются - "ну зачем они опять переписывают на раст то, что уже и так написано? Только и могут, что переписывать!"

Главное, когда такие вопросы задаёшь, игнорировать реальность и не замечать новостей про десятки уязвимостей из-за ошибок работы с памятью в одном лишь приложении.

А если даже и замечать, то говорить "ну и что, тебе же ничего через них не сломали!".

Сишкофилам хочется пожелать одного: давайте вы весь военный софт на своей сишечке напишете? Хельсинг вон все бортовые системы управления боевыми дронами пишет на расте. А потом сравним. Как это один известный человек сказал - проведём высокотехнологический эксперимент.

Ответить | Правка | Наверх | Cообщить модератору

43. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от ijuij (?), 20-Дек-24, 16:39 
Просто переход на Rust не уберет уязвимости, они просто изменят свою форму. Не забывай об этом! 🛡️

Ответить | Правка | Наверх | Cообщить модератору

45. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Аноним (35), 20-Дек-24, 16:49 
Если у тебя 50% всех уязвимостей происходят из-за работы с памятью, то уязвимостей станет в два раза меньше. Их не останется столько же в изменённой форме, их станет в два раза меньше. Причём именно они обычно связаны с RCE.
Ответить | Правка | Наверх | Cообщить модератору

49. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 17:01 
> Если у тебя 50% всех уязвимостей происходят из-за работы с памятью

Ну, в данном конкретном случае все 100% - это проблемы с памятью.
Даже всякие Integer underflow потом стреляют из-за OOB.

Но дыряшечники будут "лепить галимые отмазы":

- зачем это если есть ffmpeg
(ахаха, а типа ffmpeg не такое же омнище с Integer Overflow CVE-2024-35366, Double Free CVE-2024-35368 и Out-of-bounds Read CVE-2024-35367)

- это специально так написали, потому что им так заказали
(ребята, у вас все сишные продукты дырявые, в таком случае всех уже купили и вообще никому доверять нельзя)

- это не настоящий сишник, вот настоящий бы никогда!
(а настоящих не существует, хехе)

Ответить | Правка | Наверх | Cообщить модератору

52. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (35), 20-Дек-24, 17:10 
> зачем это если есть ffmpeg

Причём, этот ффмпег точно также можно было бы и на расте написать. Всё с теми же ассемблерными вставками, которые раст поддерживает.

Ответить | Правка | Наверх | Cообщить модератору

101. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (101), 20-Дек-24, 20:37 
> в данном конкретном случае все 100% - это проблемы с памятью.

Это смещённость выборки. Там coverage driven fuzzing использовался, но к нему необходим какой-то алгоритмический способ выявления косяков, и я подозреваю, что автор использовал что-то типа valgrind'а, который детектировал именно ошибки работы с памятью, не замечая никаких других. То есть, в этом списке не могли возникнуть ошибки не сводящиеся к неправильной работе с памятью. Невозможно по этому исследованию судить о том, сколько там ошибок другого типа.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

109. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (109), 20-Дек-24, 21:26 
> Это смещённость выборки.

На 100% уверены?
Тут есть пройтись по тегу GStreamer, то увидим забавный список новостей:

Две уязвимости - Use-After-Free и переполнение буфера (opennet.ru/opennews/art.shtml?num=60185)
Три уязвимости - целочисленное переполнение с потенциальным выполнением кода, переполнение буфера (opennet.ru/opennews/art.shtml?num=59852)
Две уязвимости - целочисленное переполнение с потенциальным выполнением кода (opennet.ru/opennews/art.shtml?num=59592)
Две уязвимости - переполнение буфера с потенциальным выполнением кода (opennet.ru/opennews/art.shtml?num=59410)
Одна уязвимость - переполнением буфера + выполнение кода, даже с примером эксплойта (opennet.ru/opennews/art.shtml?num=54465)

И это только первая страница поиска (15 новостей), дальше мне лень))

Как видим у GStreamer есть невероятно богатое и дырявое сишное прошлое.
Поэтому можно конечно попытаться объяснить происходящее "особенной" выборкой...

Ответить | Правка | Наверх | Cообщить модератору

112. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (112), 20-Дек-24, 22:49 
> Поэтому можно конечно попытаться объяснить происходящее "особенной" выборкой...

Есть разница между "объяснить происходящее" и "сделать из происходящего дальнейшие выводы". Если ты исходя из убеждения в дырявости gstreamer'а делаешь вывод, что эта выборка говорит о дырявости gstreamer'а, а потом делаешь дальнейший вывод о дырявости gsreamer'а... Знаешь, я когда учился на первом курсе, мой одногруппник летел с экзамена по матану дальше чем видел, совершив схожую ошибку. По-моему, он попытался предел sinx/x взять правилом Лопиталя, применение которого требует знания производной sin, а производная sin выводится с опорой на взятый предел sinx/x. Препод гаркнул "циклический вывод" и с пинка отправил дурака из аудитории на пересдачу.

В данном случае я лишь говорю о том, что из данного исследования в новости нельзя делать никаких выводов о том, каких багов в gstreamer'е больше, багов с памятью или каких-то других. Я не говорю о том, что таких выводов нельзя сделать опираясь на другие факты.

  

Ответить | Правка | Наверх | Cообщить модератору

103. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (102), 20-Дек-24, 20:44 
>Даже всякие Integer underflow потом стреляют из-за OOB.

Специально против такого и придуманы зависимые типы. Но опять же, сишникам некогда читать матан, они дырки плодят.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

58. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (16), 20-Дек-24, 17:20 
И сколько реалтных проблем причинили эти уязвимости нуль? И это при том что самые большие утечки происходят по причине неправильной обработки путей. При том что Раст тоже неправильно обрабатывает пути.  
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

77. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:09 
Ну напиши такой же плеер по функционалу. Пока все что виду от местных любителей — комментарии.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

88. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (88), 20-Дек-24, 18:45 
> Ну напиши такой же плеер по функционал

Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer сами на Раст давно перекатываются:

https://gstreamer.freedesktop.org/releases/1.22/

"33% of GStreamer commits are now in Rust (bindings + plugins), and the Rust plugins module is also where most of the new plugins are added these days."

Ответить | Правка | Наверх | Cообщить модератору

93. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (-), 20-Дек-24, 18:54 
> Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer сами на Раст давно перекатываются:
> https://gstreamer.freedesktop.org/releases/1.22/

Ого, спасибо за уточнение.
Конечно bindings + plugins это только начало, но самый трудный - первый шаг.

> "33% of GStreamer commits are now in Rust (bindings + plugins), and the Rust plugins module is also where most of the new plugins are added these days."

Жду с нетерпением анонса переделывания основного проекта.
Тогда точно в комментах будут полыхающие седалища.

Ответить | Правка | Наверх | Cообщить модератору

117. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (12), 21-Дек-24, 03:36 
> Жду с нетерпением анонса переделывания основного проекта.

геморой насидишь, 5 звёзд за несколько лет на гихабе намекают тебе об охеренной нужности расто-плугинов

https://github.com/GStreamer/gst-plugins-rs

Ответить | Правка | Наверх | Cообщить модератору

119. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (119), 21-Дек-24, 04:26 
> звёзд за несколько лет на гихабе намекают

А "mirrored from https://gitlab.freedesktop.org/gstreamer/gst-plugins-rs.git&... тебе ни на что не намекает?

Ответить | Правка | Наверх | Cообщить модератору

129. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (12), 21-Дек-24, 09:40 
> А "mirrored from https://gitlab.freedesktop.org/gstreamer/gst-plugins-rs.git&... тебе ни на что не намекает?

да - это зеркало! Сравно с зеркалом linux

https://github.com/torvalds/linux

Ответить | Правка | Наверх | Cообщить модератору

94. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 18:57 
> Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer
> сами на Раст давно перекатываются:

Сделать биндинги и разрешить писать плагины - это не называется перекатываться.
Ползут в направлении в лучшем случае.
Но сам факт удивляет, это да.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

95. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:58 
>> Ну напиши такой же плеер по функционал
> Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer
> сами на Раст давно перекатываются:

А ну как обычно. Зачем писать что-то, если можно паразитировать и переписывать. Типикал.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

97. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (-), 20-Дек-24, 19:04 
Зачем перестраивать дом если можно жить в землянке?
Зачем делать нормальный санузел, если можно бегать на улицу?
Зачем делать нормально, если можно кушать уязвимый код и нахваливать?

Твой в-сер особенно смешной с учетом того, что "паразитировать и переписывать" начали сами разработчики GStreamerʼа.
На ком они паразитируют, гений?

Ответить | Правка | Наверх | Cообщить модератору

99. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 20:06 
> Зачем перестраивать дом если можно жить в землянке?
> Зачем делать нормальный санузел, если можно бегать на улицу?
> Зачем делать нормально, если можно кушать уязвимый код и нахваливать?

Мастер сравнений просто. Ну если тебе будет удобнее так, то ты не сам дом построил, а пришел в уже готовый и начал хозяйничать без спроса.

> Твой в-сер особенно смешной с учетом того, что "паразитировать и переписывать" начали
> сами разработчики GStreamerʼа.
> На ком они паразитируют, гений?

И? А ты такой радостный что кто-то там начал что-то переписывать? Ведь за 15 лет нельзя было написать свой, а не ждать. Стыдно должно быть тебе. Позор!

Ответить | Правка | Наверх | Cообщить модератору

107. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (-), 20-Дек-24, 21:06 
> Ну если тебе будет удобнее так, то ты не сам дом построил, а пришел в уже готовый и начал хозяйничать без спроса.

Ого, а на доме кто написал д̶о̶м̶ ̶с̶в̶о̶б̶о̶д̶е̶н̶,̶ ̶ж̶и̶в̶и̶т̶е̶ ̶к̶т̶о̶ ̶х̶о̶т̶и̶т̶е̶ код под GPL форкайте / патчите кто хотите?
Или мне нужно спрашивать "а можно к вам отправить pull request"?
Если мой патч не подойдет создателям проекта - они его просто отклонят, это кажется должно быть понятно любому.
Но этот код приняли - значит всех все устраивает.

> И? А ты такой радостный что кто-то там начал что-то переписывать?

Конечно. Если больше проектов будут переходить на нормальные языки -> больше людей будут понимать что "не дырявыми одними" -> будет больше запросов на программы на нормальных языках -> у меня будет больший выбор проектов для работы.
Для меня одни плюсы.

> Ведь за 15 лет нельзя было написать свой, а не ждать. Стыдно должно быть тебе. Позор!

Воооообще не стыдно)
Написать свой, но зачем? У меня то все нормально работает.
А стыдно это - брак гнать, годами причем.

Ответить | Правка | Наверх | Cообщить модератору

116. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (12), 21-Дек-24, 03:30 
> 33% of GStreamer commits are now in Rust

это два года назад было, сейчас уже 101%. Там самый буйный переписыватель, я с ним как-то пересекался в одном опенсорсном проекте, он предлагал мне мой патч выпилить чтобы его патч заработал. Причём его патч абсолютно левый - какие-то никому ненужные нестандартные форматы добавлял. Мой патч исправлял баг вендорского ядра - там не принимают сторонние патчи, поэтому пришлось локальный костыль делать, собственно весь плагин был под это ядро написан. Ну т.е. понятно да - хер на вас, не важно что перестанет работать, главное чтобы у него заработало :) видимо на заказах сидит и надо стало.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

86. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (88), 20-Дек-24, 18:39 
> люди постоянно удивляются - "ну зачем они опять переписывают на раст то, что уже и так написано? Только и могут, что переписывать!"

Удивляютя сугубо опеннетные комментаторы - те, которые к разработке ПО никакого отношения не имеют.

Причем на поверку как правило оказывается, что чем меньше персонаж шарит в C, тем сильнее он воюет против Раста.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

105. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 20:55 
Может это синдром утенка?
Это как футбольные и прочие фанаты - готовы бить физиономии тем кто обозвал их любимую команду кривоногими инвалидами.
Думаю тут такое же - с детства им вбивали в голову что есть один идеальный ЯП созданный гениальным коммитетом и вообще самый лучший.
А тут приходят какие-то сопляки и говорят "да у вас тут дыреней как в шапке почтальона Печкина!".
Естественно это вызывает баттхерт и гневные вопли.
А потом когда начинаешь задавать вопрос по сonformance они чего-то сливаются.
Ответить | Правка | Наверх | Cообщить модератору

131. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (12), 21-Дек-24, 10:28 
> Хельсинг вон все бортовые системы управления боевыми дронами пишет на расте.

это он вам сам сказал ? так вы тоже говорите - проверить всё равно невозможно

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

46. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (46), 20-Дек-24, 16:56 
GStreamer - это предшественник PipeWire. Написать адаптер, выкинуть оригинал, и забыть.
Ответить | Правка | Наверх | Cообщить модератору

50. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Аноним (-), 20-Дек-24, 17:02 
Нельзя.
Начнется воняние "на моем ядре 2.3 оно не запустится! как вы посмели что-то выкидывать" и тд
То что мы видим в каждой первой теме про выпиливания некрокода.
Ответить | Правка | Наверх | Cообщить модератору

81. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (81), 20-Дек-24, 18:29 
Какая проблема сделать другу версию, а не выкидывать все подряд что и так работает.
Ответить | Правка | Наверх | Cообщить модератору

108. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 21:10 
Угу, а теперь поддерживать 2 куска кода.
Проводить тестирование, отслеживать регрессии.
Это же так просто, когда этим занимается кто-то другой!
Ответить | Правка | Наверх | Cообщить модератору

126. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (126), 21-Дек-24, 07:55 
Ну бэкпортировать на старые ядра. Линус же юзерспейс не ломает, должно быть сравнительно легко.
Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

113. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Анонем (?), 21-Дек-24, 00:29 
> GStreamer - это предшественник PipeWire.

Вроде не совсем так. У них разные задачи. Условно говоря, GStreamer это обработка и декодирование потоков. А Pipewire – диспетчеризация. Наверное, теоретически, можно реализовать кодеки и всякие эффекты внутри Pipewire, но зачем?

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

127. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (126), 21-Дек-24, 07:56 
В общем сильно опоздавший клон Windows Media Foundation.
Ответить | Правка | Наверх | Cообщить модератору

76. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:07 
Запускаю плееры в изоляции уже давно и вам советую.
Ответить | Правка | Наверх | Cообщить модератору

83. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (83), 20-Дек-24, 18:32 
>systemctl

А без systemd? Или это только с системгой и гомом? То бишь, сферически и в вакууме?

Ответить | Правка | Наверх | Cообщить модератору

87. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (87), 20-Дек-24, 18:43 
Гном-сервис который автоматически находит и запускает экспоиты это уже или ещё не совсем год линукса на дескпопе?
Ответить | Правка | Наверх | Cообщить модератору

110. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Анонимусс (-), 20-Дек-24, 21:35 
Ого, а новость обновилась.

> Помимо 29 уязвимостей, выявленных исследователями из GitHub Security
> Lab, в версии 1.24.10 заявлено об исправлении ещё 11 уязвимостей.

Прям какое-то сишное бинго сегодня!
Они бы еще написали сколько лет каждая из дыреней жила в этом прекрасном коде,
написсаном луДшими погромистами современности!

Может еще не вечер, и что-то еще найдут?))

Ответить | Правка | Наверх | Cообщить модератору

111. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 21:40 
>  Помимо 29 уязвимостей, выявленных исследователями из GitHub Security Lab, в версии 1.24.10 заявлено об исправлении ещё 11 уязвимостей.

Да что ж такое!
Надо срочно запретить статические анализаторы, а то они показывают дидов в нехорошем виде.
И вгоняют фанатиков небезопасных языков в депрессию)

Ответить | Правка | Наверх | Cообщить модератору

114. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 21-Дек-24, 00:57 
> Надо срочно запретить статические анализаторы

Это не статические анализаторы, а coverage driven fuzzing. Идея в том, что фаззер подаёт на вход программе всякие данные, наблюдает за всеми условными переходами, и подбирает такие последовательности на входе, чтобы пронаблюдать как каждый из условных переходов сработает и как он не сработает. Я не знаю, как они там детектируют баги при этом, но предполагаю, что помимо фаззера на выполнением программы наблюдает ещё и valgrind или что-нибудь в этом роде. Потом приходит человек, и разбирает выхлоп валгринда, и перерабатывает его в список багов.

Статический анализ тут ни при чём совершенно. Кроме того, я б сказал, что если код на безопасных языках обильно присыпать assert'ами, то такой фаззинг может и им помочь избавляться от "безопасных" багов, достаточно гонять фаззер и ждать, когда тот наступит на какой-нибудь assert.

Ответить | Правка | Наверх | Cообщить модератору

125. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Циноман (?), 21-Дек-24, 05:13 
Советующие rust, вы правда считаете, что ЯП, ПО на котором нельзя адекватно собрать оффлайн без добавки на несколько попядков большего числа исодников, прям безопаснее?
Довольно печальная ведь получается математика.
Ответить | Правка | Наверх | Cообщить модератору

128. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от ТожеРусский (ok), 21-Дек-24, 08:46 
Не понял, а если ты в сишной программе хочешь использовать уже ранее написанный код, то как ты это сделаешь без этого написанного кода? Без ... исходников? С уже собранной библой слинкуешься что ли? А чем это более безопасно, по сравнению со сбором исходников?
Ответить | Правка | Наверх | Cообщить модератору

130. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (130), 21-Дек-24, 10:00 
В сишных программах не учатся жрать с пола исходники, когда надо написать лефтпад, в сишных пргограммах либо он есть в базовой либе, либо пишется с руки.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру