forum.opennet.ru - "10 уязвимостей в GStreamer, приводящих к удалённому выполнению кода " (59)

"10 уязвимостей в GStreamer, приводящих к удалённому выполнению кода "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"10 уязвимостей в GStreamer, приводящих к удалённому выполнению кода "	+/–
Сообщение от opennews (??), 11-Мрт-26, 12:10
В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 10 уязвимостей, все из которых помечены как допускающие удалённое выполнение кода при обработке некорректно оформленных мультимедийных данных в форматах AVI, RTP, H.266, JPEG, ASF, RealMedia и RIFF, а также субтитров DVB-SUB. Двум проблемам присвоен уровень опасности 8.8 из 10, а остальным 7.8. Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64964
Ответить \| Правка \| Cообщить модератору

Оглавление

Благодаря нейронкам в 2026 ожидайте тысячи реальных уязвимостей в опен-сорс софт, Аноним (1), 12:10 , 11-Мрт-26, (1) +4

И скоро смогут заменить Jia Tan а , Аноним (2), 12:14 , 11-Мрт-26, (2) +2
Наконец-то появились те мифические 1000 глаз, безустанно сканирующих открытый ко, Аноним (9), 12:36 , 11-Мрт-26, (9) +7

Даже если он искусственны , Аноним (18), 12:52 , 11-Мрт-26, (18) +2

Как сказали в соседней новсти об уязвимости в Pingora, если использовать язык п, Аноним (4), 12:19 , 11-Мрт-26, (4) +6

Тут 8 8, 7 8 Раст 9 3 из 10, Аноним (11), 12:39 , 11-Мрт-26, (11)

Там 3 штуки, тут 10 штук Там нужно лезть на какой-то сайт, тут запустить файлик , Аноним (16), 12:51 , 11-Мрт-26, (16) –3

Вы неправильно считаете Нужно смотреть не на количество уязвимостей, выявленных, Аноним (25), 13:34 , 11-Мрт-26, (25)

Что опасней 10 мух или один бешеный лев , Аноним (11), 14:57 , 11-Мрт-26, (40)

10 мух зараженных холерой, брюшным тифом, сальмонеллезом и сонной болезнью Котор, Аноним (60), 16:51 , 11-Мрт-26, (60)

Неверное вычисление размера пакета, после чего другой backend криво обработал з, Аноним (28), 13:50 , 11-Мрт-26, (28) –1

Ну ожидаемо На brainfuck весьма сложно отслеживать логику приложения , Аноним (-), 14:35 , 11-Мрт-26, (35)

Си - brainfuck Однако , Аноним (63), 17:08 , 11-Мрт-26, (63)

Бгг, вы там на модных языках городите всякие IPC RPC механизмы, а в сишечке это , Аноним (5), 12:23 , 11-Мрт-26, (5) +5

Ахаха 128513 128513 128518 Надо запомнить эту шутку, Аноним (13), 12:43 , 11-Мрт-26, (13) –1

FFMPEG only, Аноним (6), 12:25 , 11-Мрт-26, (6) –1

Ломает совместимость и рассыпается раз в месяц Кроме того, там такой кадавр, чт, Аноним (10), 12:38 , 11-Мрт-26, (10) +4

А нечего его дёргать через библиотеки, вопреки идеологии UNIX , Аноним (15), 12:50 , 11-Мрт-26, (15)

А простите идеологии UNIX это как Писать креп рассыпающийся от малейшего чиха , Аноним (20), 12:57 , 11-Мрт-26, (20) +3
Шта А как видеоплееры могут использовать ffmpeg не через библиотеку , Аноним (4), 13:49 , 11-Мрт-26, (27)

выросло поколение , понабрали по ЕГЭ Например ffplay xembed Так, как w3m к, анон (?), 14:19 , 11-Мрт-26, (30)

которое не занимается извращениями Или можно делать это прям в гамаке стоя на лы, Аноним (31), 14:21 , 11-Мрт-26, (31)

Оно извращения объявило нормой , Аноним (55), 15:47 , 11-Мрт-26, (55)

Чувак, ffplay - это и есть тот самый плеер, который юзает библиотеку ffmpeg lib, Аноним (4), 14:33 , 11-Мрт-26, (34)
Не забудь потом запайпит вывод аудио, лол В каком еще окне Только в терминале ч, Аноним (4), 14:36 , 11-Мрт-26, (36)

В пределах одной мажорной версии ничего не ломается, даже бинарная совместимость, Аноним (23), 13:30 , 11-Мрт-26, (23) +1

Да что ты рассказываешь, каждое обновление что-то ломают Т е x 0 0 работает, а, Аноним (10), 14:37 , 11-Мрт-26, (37)

Пример в студию, Аноним (44), 15:14 , 11-Мрт-26, (44)

Спроси у жырнолиса, он должен быть в курсе Вот так точно было с 6, а мажорные в, Аноним (10), 15:28 , 11-Мрт-26, (51) –1

Я тебе маленький секрет открою Мажорная версия для этого и предназначена Меняе, Аноним (23), 17:01 , 11-Мрт-26, (62) –1

Скрыто модератором, Аноним (10), 17:24 , 11-Мрт-26, (66)

Скрыто модератором, Аноним (10), 17:28 , 11-Мрт-26, (67)

Ни одной, ни одной уязвимости без проблемы с памятью И все позволяют выполнить п, Аноним (16), 12:32 , 11-Мрт-26, (7) –2

https www opennet ru opennews art shtml num 64957, Аноним (11), 12:40 , 11-Мрт-26, (12) +1

Вы ту новость-то читали Там логические ошибки, можно сказать программисты if за, Аноним (13), 12:47 , 11-Мрт-26, (14) +1

А в итоге разницы нет , Аноним (17), 12:51 , 11-Мрт-26, (17) +1

Разница есть Наличие проблем с управлением памятью никак не исключает количеств, Аноним (25), 13:36 , 11-Мрт-26, (26) +2

разницы нет, пара if решает проблемы с памятью и выходы за пределы буфера и пере, dddd (?), 16:47 , 11-Мрт-26, (59)

Нет никакой машины Тьюринга, начиная с самых первых высокоуровневых языков Вы д, Аноним (25), 17:42 , 11-Мрт-26, (68)

Есть разница логические растоошибки отмечены куда более опасными , Аноним (11), 15:01 , 11-Мрт-26, (41)

8 8 vs 9 3 Я бы согласился если бы было 9 и 5 Но куда более это явное преувел, Аноним (46), 15:21 , 11-Мрт-26, (46)
Но выполнение произвольного кода в GStreamer Неудобно получилось, да , Аноним (63), 17:18 , 11-Мрт-26, (64)

Отличный наброс из серии а у вас негров линчуют Чтобы получить проблему там - , Аноним (16), 12:52 , 11-Мрт-26, (19)

Забавно Тут смотрелка, которая может специально подготовленными файлами закреши, Аноним (22), 13:15 , 11-Мрт-26, (22) –1

Таки закрешить или выполнить произвольный код Или у фанатов дыpяшки все и, Аноним (-), 13:31 , 11-Мрт-26, (24) +1

Работающий эксплоит не предоставлен , Аноним (11), 15:03 , 11-Мрт-26, (42)

Точно так же как и для Pingora Там даже лучше - самая опасная ошибка вообще не р, Аноним (46), 15:08 , 11-Мрт-26, (43)

H 266 - на дидов не сопрешь , Аноним (8), 12:33 , 11-Мрт-26, (8) +1

Они создали базу, молодежь ничего не может , Сладкая булочка (?), 15:28 , 11-Мрт-26, (50)

Истукан на глиняных ногах , Аноним (-), 16:27 , 11-Мрт-26, (57) –1

Это как надо навайбкодить чтобы при отрисовке ЖПЕГ запускался произвольный код , Аноним (17), 13:14 , 11-Мрт-26, (21) –1

Легко JPEG это дискретное косинусное преобразование, им можно приблизить любую , анон (?), 14:23 , 11-Мрт-26, (32)
Единственный адекватный вопрос в комментах Посмотрите, что такое glib и gobject, Аноним (44), 15:17 , 11-Мрт-26, (45) –2

Каким образом это относится к вопросу , Сладкая булочка (?), 15:29 , 11-Мрт-26, (52) +1

Кто-то опять сканер расчехлил А не хотят ли гномовцы встроить его в ci , Сладкая булочка (?), 14:28 , 11-Мрт-26, (33)

Чтобы они вообще ничего закоммитить не смогли , Аноним (38), 14:53 , 11-Мрт-26, (38) –1
Так 99 коммитов будут отклонены из-за проблем с памятью, учитывая общую культур, Аноним (63), 17:21 , 11-Мрт-26, (65)

Падумаешь В прошлый раз нашли 29 уязвимостей и чо opennet ru opennews art s, Аноним (38), 14:56 , 11-Мрт-26, (39)

Уменьшается, чо , Сладкая булочка (?), 15:25 , 11-Мрт-26, (48)

Сообщения [Сортировка по времени | RSS]

1. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +4 +/–

Сообщение от Аноним (1), 11-Мрт-26, 12:10

Благодаря нейронкам в 2026 ожидайте тысячи реальных уязвимостей в опен-сорс софте - нейронки уже умеют слишком хорошо находить их.

Ответить | Правка | Наверх | Cообщить модератору

2. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +2 +/–

Сообщение от Аноним (2), 11-Мрт-26, 12:14

И скоро смогут заменить Jia Tan'а ;)

Ответить | Правка | Наверх | Cообщить модератору

9. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +7 +/–

Сообщение от Аноним (9), 11-Мрт-26, 12:36

Наконец-то появились те мифические 1000 глаз, безустанно сканирующих открытый код на предмет ошибок и уязвимостей.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +2 +/–

Сообщение от Аноним (18), 11-Мрт-26, 12:52

Даже если он искусственны.

Ответить | Правка | Наверх | Cообщить модератору

4. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +6 +/–

Сообщение от Аноним (4), 11-Мрт-26, 12:19

> Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению.
Как сказали в соседней новсти об уязвимости в Pingora, "если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить". Whait, oh shi... 😳

Ответить | Правка | Наверх | Cообщить модератору

11. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (11), 11-Мрт-26, 12:39

Тут: 8.8, 7.8... Раст: 9.3 из 10

Ответить | Правка | Наверх | Cообщить модератору

16. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –3 +/–

Сообщение от Аноним (16), 11-Мрт-26, 12:51

Там 3 штуки, тут 10 штук.
Там нужно лезть на какой-то сайт, тут запустить файлик локально.
Где тут любитель "зеленого магазина"?
Оба хороши...

Ответить | Правка | Наверх | Cообщить модератору

25. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (25), 11-Мрт-26, 13:34

>Там 3 штуки, тут 10 штук.
Вы неправильно считаете. Нужно смотреть не на количество уязвимостей, выявленных за раз, а на их суммарное количество. В GStreamer постоянно находят уязвимости, связанные с управлением памятью.

Ответить | Правка | Наверх | Cообщить модератору

40. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (11), 11-Мрт-26, 14:57

Что опасней: 10 мух или один бешеный лев?

Ответить | Правка | Наверх | Cообщить модератору

60. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (60), 11-Мрт-26, 16:51

> Что опасней: 10 мух или один бешеный лев?
10 мух зараженных холерой, брюшным тифом, сальмонеллезом и сонной болезнью?
Которая незаметно ̶п̶о̶л̶у̶ч̶и̶т̶ ̶р̶у̶т̶ ̶н̶а̶ ̶т̶в̶о̶е̶м̶ ̶к̶о̶м̶п̶е̶ проползет по твоему бутеру, а ты будешь гадать откуда взялась бякя?
ЗЫ: вообще забавно что ты уязвимость в расте сравнил со львом, а в сишке с мухами)))

Ответить | Правка | Наверх | Cообщить модератору

28. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –1 +/–

Сообщение от Аноним (28), 11-Мрт-26, 13:50

Неверное вычисление размера пакета, после чего другой! backend криво обработал запрос - 9.3 балла.
Исполнение произвольного кода при открытии JPEG картинки - 7.8 баллов.
Брава! =)

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

35. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 14:35

Ну ожидаемо.
На brainfuck весьма сложно отслеживать логику приложения.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

63. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (63), 11-Мрт-26, 17:08

Си - brainfuck? Однако.

Ответить | Правка | Наверх | Cообщить модератору

5. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +5 +/–

Сообщение от Аноним (5), 11-Мрт-26, 12:23

> уязвимостей, все из которых помечены как допускающие удалённое выполнение кода
Бгг, вы там на модных языках городите всякие IPC/RPC механизмы, а в сишечке это вон прямо из коробки есть.

Ответить | Правка | Наверх | Cообщить модератору

13. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –1 +/–

Сообщение от Аноним (13), 11-Мрт-26, 12:43

Ахаха 😁😁😆
Надо запомнить эту шутку

Ответить | Правка | Наверх | Cообщить модератору

6. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –1 +/–

Сообщение от Аноним (6), 11-Мрт-26, 12:25

FFMPEG only

Ответить | Правка | Наверх | Cообщить модератору

10. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +4 +/–

Сообщение от Аноним (10), 11-Мрт-26, 12:38

Ломает совместимость и рассыпается раз в месяц. Кроме того, там такой кадавр, что найти подобные баги в нём не в пример сложнее (а их там есть, и намеренные, и нет).

Ответить | Правка | Наверх | Cообщить модератору

15. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (15), 11-Мрт-26, 12:50

> Ломает совместимость и рассыпается раз в месяц.
А нечего его дёргать через библиотеки, вопреки идеологии UNIX.

Ответить | Правка | Наверх | Cообщить модератору

20. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +3 +/–

Сообщение от Аноним (20), 11-Мрт-26, 12:57

А простите "идеологии UNIX" это как?
Писать креп рассыпающийся от малейшего чиха?

Ответить | Правка | Наверх | Cообщить модератору

27. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (4), 11-Мрт-26, 13:49

>> FFMpeg
> А нечего его дёргать через библиотеки, вопреки идеологии UNIX.
Шта? А как видеоплееры могут использовать ffmpeg не через библиотеку?

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

30. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от анон (?), 11-Мрт-26, 14:19

"выросло поколение", "понабрали по ЕГЭ".
Например ffplay + xembed. Так, как w3m картинки показывает.

Или можно пайпать вывод ffmpeg2yuv, а yuv рисовать на своём окне.

Ответить | Правка | Наверх | Cообщить модератору

31. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (31), 11-Мрт-26, 14:21

> "выросло поколение",
которое не занимается извращениями)
> Или можно пайпать вывод ffmpeg2yuv, а yuv рисовать на своём окне.
Или можно делать это прям в гамаке стоя на лыжах.
Чего не сделаешь ради качественного прдолинга ради прдолинга.

Ответить | Правка | Наверх | Cообщить модератору

55. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (55), 11-Мрт-26, 15:47

>> "выросло поколение",
>которое не занимается извращениями)
Оно извращения объявило нормой.

Ответить | Правка | Наверх | Cообщить модератору

34. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (4), 11-Мрт-26, 14:33

>> А как видеоплееры могут использовать ffmpeg не через библиотеку?
> Например ffplay + xembed.
Чувак, ffplay - это и есть тот самый плеер, который юзает библиотеку ffmpeg (libav).
> "выросло поколение", "понабрали по ЕГЭ".
Какая ирония...

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

36. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (4), 11-Мрт-26, 14:36

> Или можно пайпать вывод ffmpeg2yuv, а yuv
Не забудь потом запайпит вывод аудио, лол.
> рисовать на своём окне.
В каком еще окне? Только в терминале через libcaca! Ты что, только консольный юниксвей!

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

23. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +1 +/–

Сообщение от Аноним (23), 11-Мрт-26, 13:30

>Ломает совместимость
В пределах одной мажорной версии ничего не ломается, даже бинарная совместимость сохраняется. А переезд 7.1 - 8.0 так вообще прошёл без проблем.

> баги в нём не в пример сложнее
После кода гстримера там код читается как букварь.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

37. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (10), 11-Мрт-26, 14:37

Да что ты рассказываешь, каждое обновление что-то ломают. Т.е. x.0.0 работает, а x.0.1 и последующие уже отвалится в куче мест. У них вообще нет совместимости, ломают все "ветки" разом. Именно по этой причине всему софту приходится тащить свою протухшую копию ffmpeg. Gstreamer, для сравнения, я не помню, чтобы ломал что-то, единственное было 0.10->1.0.

Ответить | Правка | Наверх | Cообщить модератору

44. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (44), 11-Мрт-26, 15:14

Пример в студию

Ответить | Правка | Наверх | Cообщить модератору

51. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –1 +/–

Сообщение от Аноним (10), 11-Мрт-26, 15:28

> Пример в студию
Спроси у жырнолиса, он должен быть в курсе. Вот так точно было с 6, а мажорные всегда без исключаний отваливаются. И хорошо ещё компиляция сломается, часто узнаёшь об этом сильно постфактум. Это помойная либа, как и libvpx.

Ответить | Правка | Наверх | Cообщить модератору

62. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –1 +/–

Сообщение от Аноним (23), 11-Мрт-26, 17:01

>мажорные всегда без исключаний отваливаются
Я тебе маленький секрет открою. Мажорная версия для этого и предназначена. Меняется API - меняется MAJOR.

Ответить | Правка | Наверх | Cообщить модератору

66. Скрыто модератором +/–

Сообщение от Аноним (10), 11-Мрт-26, 17:24

4 ломали в минорных емнип. Кроме того раза, когда они закоммитили во все ветки и сломали в патче. У меня уже убеждённость, что в каждом патче что-то сломали -- у них не семвер, а клоунада. И они каждый год мажорные пихают теперь и постоянно софт под них переписывать, вполне логично и закономерно, что разработчики не в восторге. Точно так же не в восторге все те, кто не в восторге от бандленных вечно протухших либ.

Ответить | Правка | Наверх | Cообщить модератору

67. Скрыто модератором +/–

Сообщение от Аноним (10), 11-Мрт-26, 17:28

Это всё ещё помню было со 2 и 3, тогда тоже уже приходилось бандлить из-за того что каждое обновление которое по идее "патч", что-то обязательно ломает. Если углубиться, то это всегда была помойка, во все времена.

Ответить | Правка | Наверх | Cообщить модератору

7. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –2 +/–

Сообщение от Аноним (16), 11-Мрт-26, 12:32

> выявлено 10 уязвимостей
> восемь приводят к записи данных за пределы буфера
> две к целочисленному переполнению
Ни одной, ни одной уязвимости без проблемы с памятью!
И все позволяют выполнить произвольный код... прям какая-то жесть.

Ответить | Правка | Наверх | Cообщить модератору

12. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +1 +/–

Сообщение от Аноним (11), 11-Мрт-26, 12:40

https://www.opennet.ru/opennews/art.shtml?num=64957

Ответить | Правка | Наверх | Cообщить модератору

14. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +1 +/–

Сообщение от Аноним (13), 11-Мрт-26, 12:47

Вы ту новость-то читали? Там логические ошибки, можно сказать программисты if забыли написать вот и уязвимость. А тут дыры в самых базовых вещах.

Ответить | Правка | Наверх | Cообщить модератору

17. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +1 +/–

Сообщение от Аноним (17), 11-Мрт-26, 12:51

А в итоге разницы нет.

Ответить | Правка | Наверх | Cообщить модератору

26. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +2 +/–

Сообщение от Аноним (25), 11-Мрт-26, 13:36

Разница есть. Наличие проблем с управлением памятью никак не исключает количество логических ошибок, а суммируется с ним.

Ответить | Правка | Наверх | Cообщить модератору

59. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от dddd (?), 11-Мрт-26, 16:47

разницы нет, пара if решает проблемы с памятью и выходы за пределы буфера и переполнение.
Машина Тьюринга она что на раст, что на си, одинаковая вычислительная сила.

Ответить | Правка | Наверх | Cообщить модератору

68. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (25), 11-Мрт-26, 17:42

Нет никакой машины Тьюринга, начиная с самых первых высокоуровневых языков. Вы даже на си просто-так в середину чужой функции через goto не прыгнете.

Ответить | Правка | Наверх | Cообщить модератору

41. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (11), 11-Мрт-26, 15:01

Есть разница: логические растоошибки отмечены куда более опасными.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

46. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (46), 11-Мрт-26, 15:21

> Есть разница: логические растоошибки отмечены куда более опасными.
8.8 vs 9.3 ?
Я бы согласился если бы было 9 и 5.
Но "куда более" это явное преувеличение для оправдания Жстриммеров)

Ответить | Правка | Наверх | Cообщить модератору

64. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (63), 11-Мрт-26, 17:18

Но выполнение произвольного кода в GStreamer. Неудобно получилось, да?

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

19. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (16), 11-Мрт-26, 12:52

Отличный наброс из серии "а у вас негров линчуют".
Чтобы получить проблему там - нужно еще постараться.
А тут нужно просто кинцо с торрента скачать.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –1 +/–

Сообщение от Аноним (22), 11-Мрт-26, 13:15

Забавно. Тут смотрелка, которая может специально подготовленными файлами закрешить программу локального пользователя.
Там система гарантирующая безопасную доставку контента позволяет его подменить. То есть, как вариант, послать деньги не туда.
Что же из этого хуже?

Ответить | Правка | Наверх | Cообщить модератору

24. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +1 +/–

Сообщение от Аноним (-), 11-Мрт-26, 13:31

> Забавно. Тут смотрелка, которая может специально подготовленными файлами закрешить программу локального пользователя.
Таки закрешить или выполнить произвольный код?))
Или у фанатов дыpяшки "... все из которых помечены как допускающие удалённое выполнение кода при обработке некорректно оформленных мультимедийных данных..." теперь называется закрешить?
> Там система гарантирующая безопасную доставку контента позволяет его подменить. То есть, как вариант, послать деньги не туда.
"Проблемы проявляются при использовании Pingora в форме обратного прокси (ingress proxy), ...
Применяемая в сети доставки контента Cloudflare конфигурация Pingora не позволяла эксплуатировать уязвимости, так как Pingora в CDN не используется в роли ingress-прокси "
Ну т.е саму Cloudflare это не коснулось, а возможно пострадали ̶б̶е̶с̶п̶л̶а̶т̶н̶ы̶е̶ ̶б̶е̶т̶а̶т̶е̶с̶т̶е̶р̶ы̶ любители халявы.
> Что же из этого хуже?
Думаю первое.
Т.е с торрентов качается много видео, скорее всего дырки уже используются.
Второе тоже очень плохо, но реализация сложнее и обычных пользователь от этого пострадает с меньшей вероятностью.

Ответить | Правка | Наверх | Cообщить модератору

42. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (11), 11-Мрт-26, 15:03

> или выполнить произвольный код?)
Работающий эксплоит не предоставлен.

Ответить | Правка | Наверх | Cообщить модератору

43. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (46), 11-Мрт-26, 15:08

>> или выполнить произвольный код?)
> Работающий эксплоит не предоставлен.
Точно так же как и для Pingora.
Там даже лучше - самая опасная ошибка вообще не работает на инфраструктуре клоудфлари "Применяемая в сети доставки контента Cloudflare конфигурация Pingora не позволяла эксплуатировать уязвимости, так как Pingora в CDN не используется в роли ingress-прокси"

Ответить | Правка | Наверх | Cообщить модератору

8. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +1 +/–

Сообщение от Аноним (8), 11-Мрт-26, 12:33

H.266 - на дидов не сопрешь :)

Ответить | Правка | Наверх | Cообщить модератору

50. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Сладкая булочка (?), 11-Мрт-26, 15:28

> H.266 - на дидов не сопрешь :)
Они создали базу, молодежь ничего не может.

Ответить | Правка | Наверх | Cообщить модератору

57. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –1 +/–

Сообщение от Аноним (-), 11-Мрт-26, 16:27

> Они создали базу
Истукан на глиняных ногах.

Ответить | Правка | Наверх | Cообщить модератору

21. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –1 +/–

Сообщение от Аноним (17), 11-Мрт-26, 13:14

Это как надо навайбкодить чтобы при отрисовке ЖПЕГ запускался произвольный код.

Ответить | Правка | Наверх | Cообщить модератору

32. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от анон (?), 11-Мрт-26, 14:23

Легко. JPEG это дискретное косинусное преобразование, им можно приблизить любую функцию (если её отразить относительно 0), ну а потом просто br на её начало.

Ответить | Правка | Наверх | Cообщить модератору

45. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –2 +/–

Сообщение от Аноним (44), 11-Мрт-26, 15:17

Единственный адекватный вопрос в комментах. Посмотрите, что такое glib и gobject. Это буквально ООП в сишке, со всеми вытекающими из ООП парадигмы.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

52. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +1 +/–

Сообщение от Сладкая булочка (?), 11-Мрт-26, 15:29

Каким образом это относится к вопросу?

Ответить | Правка | Наверх | Cообщить модератору

33. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Сладкая булочка (?), 11-Мрт-26, 14:28

Кто-то опять сканер расчехлил? А не хотят ли гномовцы встроить его в ci?

Ответить | Правка | Наверх | Cообщить модератору

38. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." –1 +/–

Сообщение от Аноним (38), 11-Мрт-26, 14:53

> А не хотят ли гномовцы встроить его в ci?
Чтобы они вообще ничего закоммитить не смогли?)

Ответить | Правка | Наверх | Cообщить модератору

65. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (63), 11-Мрт-26, 17:21

Так 99% коммитов будут отклонены из-за проблем с памятью, учитывая общую культуру программирования на СИ.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

39. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Аноним (38), 11-Мрт-26, 14:56

> 10 уязвимостей в GStreamer
Падумаешь!
В прошлый раз нашли 29 уязвимостей... и чо?!
opennet.ru/opennews/art.shtml?num=62441

Ответить | Правка | Наверх | Cообщить модератору

48. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..." +/–

Сообщение от Сладкая булочка (?), 11-Мрт-26, 15:25

>> 10 уязвимостей в GStreamer
> Падумаешь!
> В прошлый раз нашли 29 уязвимостей... и чо?!
> opennet.ru/opennews/art.shtml?num=62441
Уменьшается, чо!

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+4 +/–
Сообщение от Аноним (1), 11-Мрт-26, 12:10
Благодаря нейронкам в 2026 ожидайте тысячи реальных уязвимостей в опен-сорс софте - нейронки уже умеют слишком хорошо находить их.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+2 +/–
	Сообщение от Аноним (2), 11-Мрт-26, 12:14
	И скоро смогут заменить Jia Tan'а ;)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+7 +/–
	Сообщение от Аноним (9), 11-Мрт-26, 12:36
	Наконец-то появились те мифические 1000 глаз, безустанно сканирующих открытый код на предмет ошибок и уязвимостей.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	18. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+2 +/–
	Сообщение от Аноним (18), 11-Мрт-26, 12:52
	Даже если он искусственны.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+6 +/–
Сообщение от Аноним (4), 11-Мрт-26, 12:19
> Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению. Как сказали в соседней новсти об уязвимости в Pingora, "если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить". Whait, oh shi... 😳
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (11), 11-Мрт-26, 12:39
	Тут: 8.8, 7.8... Раст: 9.3 из 10
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	–3 +/–
	Сообщение от Аноним (16), 11-Мрт-26, 12:51
	Там 3 штуки, тут 10 штук. Там нужно лезть на какой-то сайт, тут запустить файлик локально. Где тут любитель "зеленого магазина"? Оба хороши...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (25), 11-Мрт-26, 13:34
	>Там 3 штуки, тут 10 штук. Вы неправильно считаете. Нужно смотреть не на количество уязвимостей, выявленных за раз, а на их суммарное количество. В GStreamer постоянно находят уязвимости, связанные с управлением памятью.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (11), 11-Мрт-26, 14:57
	Что опасней: 10 мух или один бешеный лев?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (60), 11-Мрт-26, 16:51
	> Что опасней: 10 мух или один бешеный лев? 10 мух зараженных холерой, брюшным тифом, сальмонеллезом и сонной болезнью? Которая незаметно ̶п̶о̶л̶у̶ч̶и̶т̶ ̶р̶у̶т̶ ̶н̶а̶ ̶т̶в̶о̶е̶м̶ ̶к̶о̶м̶п̶е̶ проползет по твоему бутеру, а ты будешь гадать откуда взялась бякя? ЗЫ: вообще забавно что ты уязвимость в расте сравнил со львом, а в сишке с мухами)))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	–1 +/–
	Сообщение от Аноним (28), 11-Мрт-26, 13:50
	Неверное вычисление размера пакета, после чего другой! backend криво обработал запрос - 9.3 балла. Исполнение произвольного кода при открытии JPEG картинки - 7.8 баллов. Брава! =)
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	35. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (-), 11-Мрт-26, 14:35
	Ну ожидаемо. На brainfuck весьма сложно отслеживать логику приложения.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	63. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (63), 11-Мрт-26, 17:08
	Си - brainfuck? Однако.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+5 +/–
Сообщение от Аноним (5), 11-Мрт-26, 12:23
> уязвимостей, все из которых помечены как допускающие удалённое выполнение кода Бгг, вы там на модных языках городите всякие IPC/RPC механизмы, а в сишечке это вон прямо из коробки есть.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	–1 +/–
	Сообщение от Аноним (13), 11-Мрт-26, 12:43
	Ахаха 😁😁😆 Надо запомнить эту шутку
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	–1 +/–
Сообщение от Аноним (6), 11-Мрт-26, 12:25
FFMPEG only
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+4 +/–
	Сообщение от Аноним (10), 11-Мрт-26, 12:38
	Ломает совместимость и рассыпается раз в месяц. Кроме того, там такой кадавр, что найти подобные баги в нём не в пример сложнее (а их там есть, и намеренные, и нет).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (15), 11-Мрт-26, 12:50
	> Ломает совместимость и рассыпается раз в месяц. А нечего его дёргать через библиотеки, вопреки идеологии UNIX.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+3 +/–
	Сообщение от Аноним (20), 11-Мрт-26, 12:57
	А простите "идеологии UNIX" это как? Писать креп рассыпающийся от малейшего чиха?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (4), 11-Мрт-26, 13:49
	>> FFMpeg > А нечего его дёргать через библиотеки, вопреки идеологии UNIX. Шта? А как видеоплееры могут использовать ffmpeg не через библиотеку?
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	30. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от анон (?), 11-Мрт-26, 14:19
	"выросло поколение", "понабрали по ЕГЭ". Например ffplay + xembed. Так, как w3m картинки показывает. Или можно пайпать вывод ffmpeg2yuv, а yuv рисовать на своём окне.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (31), 11-Мрт-26, 14:21
	> "выросло поколение", которое не занимается извращениями) > Или можно пайпать вывод ffmpeg2yuv, а yuv рисовать на своём окне. Или можно делать это прям в гамаке стоя на лыжах. Чего не сделаешь ради качественного прдолинга ради прдолинга.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (55), 11-Мрт-26, 15:47
	>> "выросло поколение", >которое не занимается извращениями) Оно извращения объявило нормой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (4), 11-Мрт-26, 14:33
	>> А как видеоплееры могут использовать ffmpeg не через библиотеку? > Например ffplay + xembed. Чувак, ffplay - это и есть тот самый плеер, который юзает библиотеку ffmpeg (libav). > "выросло поколение", "понабрали по ЕГЭ". Какая ирония...
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	36. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (4), 11-Мрт-26, 14:36
	> Или можно пайпать вывод ffmpeg2yuv, а yuv Не забудь потом запайпит вывод аудио, лол. > рисовать на своём окне. В каком еще окне? Только в терминале через libcaca! Ты что, только консольный юниксвей!
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	23. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+1 +/–
	Сообщение от Аноним (23), 11-Мрт-26, 13:30
	>Ломает совместимость В пределах одной мажорной версии ничего не ломается, даже бинарная совместимость сохраняется. А переезд 7.1 - 8.0 так вообще прошёл без проблем. > баги в нём не в пример сложнее После кода гстримера там код читается как букварь.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	37. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (10), 11-Мрт-26, 14:37
	Да что ты рассказываешь, каждое обновление что-то ломают. Т.е. x.0.0 работает, а x.0.1 и последующие уже отвалится в куче мест. У них вообще нет совместимости, ломают все "ветки" разом. Именно по этой причине всему софту приходится тащить свою протухшую копию ffmpeg. Gstreamer, для сравнения, я не помню, чтобы ломал что-то, единственное было 0.10->1.0.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	+/–
	Сообщение от Аноним (44), 11-Мрт-26, 15:14
	Пример в студию
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	–1 +/–
	Сообщение от Аноним (10), 11-Мрт-26, 15:28
	> Пример в студию Спроси у жырнолиса, он должен быть в курсе. Вот так точно было с 6, а мажорные всегда без исключаний отваливаются. И хорошо ещё компиляция сломается, часто узнаёшь об этом сильно постфактум. Это помойная либа, как и libvpx.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "10 уязвимостей в GStreamer, приводящих к удалённому выполнен..."	–1 +/–
	Сообщение от Аноним (23), 11-Мрт-26, 17:01
	>мажорные всегда без исключаний отваливаются Я тебе маленький секрет открою. Мажорная версия для этого и предназначена. Меняется API - меняется MAJOR.
	Ответить \| Правка \| Наверх \| Cообщить модератору