В наборе библиотек SDL (https://libsdl.org/) (Simple Direct Layer), предоставляющем средства для аппаратно ускоренного вывода 2D- и 3D-графики, обработка ввода, воспроизведение звука, вывод 3D через OpenGL/OpenGL ES и множество иных сопутствующих операций, выявлено (https://blog.talosintelligence.com/2019/07/vulnerability-spo...) 6 уязвимостей. В том числе в библиотеке SDL2_image обнаружены две проблемы, позволяющие организовать удалённое выполнение кода в системе. Атака может быть совершена на приложения, использующие SDL для загрузки изображений.Обе уязвимости (CVE-2019-5051 (https://www.talosintelligence.com/vulnerability_reports/TALO...), СVE-2019-5051 (https://www.talosintelligence.com/vulnerability_reports/TALO...)) присутствует в функции IMG_LoadPCX_RW и вызваны отсутствием необходимого обработчика ошибок и целочисленным переполнением, которые можно эксплуатировать через передачу специально оформленного файла в формате PCX. Проблемы уже устранены (https://discourse.libsdl.org/t/sdl-image-2-0-5-released/26347) в выпуске SDL_image 2.0.5 (https://www.libsdl.org/projects/SDL_image/). Информация об остальных 4 уязвимостях пока не раскрывается (https://www.talosintelligence.com/vulnerability_reports/TALO...).
URL: https://blog.talosintelligence.com/2019/07/vulnerability-spo...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51017
Парад уязвимостей в свободном программном обеспечении... Сбежать на форточки?
Беги-беги. jpeg сплоит там давно залатали.
Правильно, не можеш победить - возглавь.
Зачем виндоуз, есть же BSD-системы. Кстати, там реальный UNIX (напоминаю, что линукс не соответствует спецификациям UNIX). Кстати, в BSD-системах также нет systemd (напоминаю, что в линукс повсеместен systemd).А проблема виндоуза в первую очеред в том, что он не UNIX. Как и линукса.
А нужен реальный юникс? Ведь так называемая "философия юникс - это набор костылей. И сами создатели Юникса потом пытались его улучшить в своей ОСи Plan9
Про Devuan & Gentoo благородный дон не слышал? Это только то, что сам использую.
> Зачем виндоуз, есть же BSD-системы. Кстати, там реальный UNIX (напоминаю, что линукс не соответствует спецификациям UNIX). Кстати, в BSD-системах также нет systemd (напоминаю, что в линукс повсеместен systemd).Я так понимаю, что ты на самом деле тот самый перепончатый, без знаний предмета, но с подгоранием и решил "отомстить", запостив тупость и безграмотность из под "ненависного" ника?
На BSD нет и никогда не было «реального Unix».
Unix это то, что прошло сертификацию. Например macOS(не путай с MacOS) и OS X это Unix. Например Oracle Solaris это Unix. Например AIX это Unix.https://www.opengroup.org/openbrand/register/
А про BSD ты врешь, как всегда.
> На BSD нет и никогда не было «реального Unix».Ох уж эти знатоки:
The UNIX system family tree: Research and BSD
---------------------------------------------First Edition (V1)
|
Second Edition (V2)
|
Third Edition (V3)
|
Fourth Edition (V4)
|
Fifth Edition (V5)
|
Sixth Edition (V6) -----*
\ |
\ |
\ |
Seventh Edition (V7) |
\ |
\ 1BSD
32V |
\ 2BSD---------------*
\ / |
\ / |
\/ |
3BSD |
| |
4.0BSD 2.79BSD
| |
4.1BSD --------------> 2.8BSD
| |
4.1aBSD -----------\ |
| \ |
4.1bBSD \ |
| \ |
*------ 4.1cBSD --------------> 2.9BSD
/ | |
Eighth Edition | 2.9BSD-Seismo
| | |
+----<--- 4.2BSD 2.9.1BSD
| | |
+----<--- 4.3BSD -------------> 2.10BSD
| | / |
Ninth Edition | / 2.10.1BSD
| 4.3BSD Tahoe-----+ |
дальше смотри сам
https://raw.githubusercontent.com/freebsd/freebsd/master/sha...
Или
https://www.freebsd.org/doc/en/articles/explaining-bsd/what-...
> Sun Microsystems licensed UNIX® and implemented a version of 4.2BSD,
> which they called SunOS™. When AT&T themselves were allowed to sell UNIX®
> commercially, they started with a somewhat bare-bones implementation called
> System III, to be quickly followed by System V.
> ...
> The BSD tapes contained AT&T source code and thus required a UNIX® source license. By 1990, the CSRG's funding was running out, and it faced closure.
> Some members of the group decided to release the BSD code, which was
> Open Source, without the AT&T proprietary code.Не, конечно ты можешь возразить что вот они-то врут, а некий Ключевский (уличенный уже не раз на балабольстве) именно тут правду-матку режет, но ...
> А про BSD ты врешь, как всегда.
Не так давно некий Ключевский вещал с умным видом, что Дэниэль Роббинс, создатель Gentoo, никоим образом не заимствовал никаких идей из фри ...
Но вы продолжайте, продолжайте.
Более того, софт еще и на определенном железе должен быть запущен, чтобы считаться UNIX(R). Например, макос на хакинтошах уже не юникс.
В генте пользуют OpenRC
sdl и под шиндоус активно используется.
Беги-беги. В форточках тоже полно игрушек использующих SDL, только они на новую версию никогда уже не обновятся. В следующий раз когда тебе придёт картинка с логотипом команды в какой-нибудь мультиплеерной FPS, как следует подумай, не утекли ли в этот момент твои пароли, ключи и кошельки.
Что мешает самому скачать обновленный dll файл и скопировать в каждую папку с игрой?
Продолжаем хлебать баги и дыры, что у "божественной сишечки" в ДНК
Надо срочно переписать все на метапрог!
От того, что ты заменишь 1 деталь в системе, которая почти на 99% написана на Си/Си++ легче не станет.
И это не говоря о том, что в архитектуре CPU с доступом к памяти на основе указателей ЯП ничего не решит вообще. Какой ЯП не возьми, внутри он также будет работать с указателями.
И последний момент это обработка входных данных, где ЯП тоже ничего не решает. Решает человек, которому свойственно ошибаться.
продолжаем, а как иначе? - ждать пол века пока появится альтернатива на ржавчине, не дождаться и всё равно взять SDL?
Во всём виновата сишечка, ага. И нож виноват, что им режут людей. Да и арматура. Арматура виновата, что ею гопник по башке легонько так стукает.Хотя я планирую в своих проектах переходить с sdl на специализированные библиотеки. Для создания контекста opengl будет egl. Кста, знает кто библиотеку для HID устройств?
ИМО уязвимость применимая только в теории. SDL используют в основном для игр, а там все ресурсы свои, из непроверенных источников не загружаются.
Ну даже в играх такое можно эксплуатировать все равно. Помню, Игруха Little Inferno самостоятельно, без каких либо запросов с твоей стороны, шарит в твоих фотографиях в домашней директории и добавляет их в игру (чтобы потом "сжечь"). Интересно, она использует SDL?
Ты хранишь фотографии в формате PCX ?
Если это какая-нибудь мобильная игра - то там в порядке вещей тянуть ресурсы с сети при первом запуске, потому что начальный размер пакета ограничен при скачивании из магазина с мобильного интернета.
Некоторые игры поддерживают сторонние моды
И во всём будет виновата sdl, а не сомнительный код мода?
Ну конечно. Карты грузятся только так, причём со скриншотами. Логотипы команд и игроков грузятся, аватарки. Широченный простор для эксплуатации.
Узнай о существовании сторонних модов и открой для себя новый дивный мир.
RIIR.
А зачем нужен SDL библиотеке FFmpeg ? И почему мне его навязывают в качесте зависимости в рачике ? Этот же вопрос касается и Pulseaudio ...
а зачем ты спрашиваешь об этом местных анонимов, а не меинтейнеров рачика?
> зачем нужен SDL библиотеке FFmpeg ?Обычно для вывода видео и звука. Из достаточно популярных - kdenlive хочет ffmpeg с sdl. Плееры обычно используют свой код вывода видео и звука, поэтому им ffmpeg с поддержкой sdl не требуется (но можно попробовать заюзать, если очень хочется).
> А зачем нужен SDL библиотеке FFmpeg ? И почему мне его навязывают
> в качесте зависимости в рачике ? Этот же вопрос касается и
> Pulseaudio ...В генте таких приколов нет
Сцyка, это только на опеннете вместо вменяемых комментариев сразу идут тупые тролли и имбецилы?
объясните по простому: если старый игорь использует sdl вместо движка, сторонних модов никаких нет - бояться нечего?
А флатпаки кто-нибудь будет обновлять?
какие приложения под ударом?
это касается только SDL2.0 ?
или в SDL1.2 эти уязвимости тоже есть ?
Открываешь картинку из интернетов и запускается шмфровальщик. Неплохо.
ну если ктото смотрит картинки в интернете под рутом - то туда ему и дорога
PCX? Ими ещё кто-то пользуется?
Прикольно. Хотя сам пользуюсь stb_image, но думаю раскурить и начать использовать libpng.