|
1.2, хрю (?), 09:28, 31/08/2017 [ответить] [показать ветку] [···] [к модератору]
| +5 +/– |
> относит их к коду с неопределённым поведением ("Undefined Behavior") и удаляет как излишний код.
Эпично. Что-то даже такого сходу таких уязвимостей и не припомню сходу.
|  | |
|
|
3.12, Аноним (-), 10:22, 31/08/2017 [^] [ответить] [к модератору]
| –1 +/– |
> бестолковые любители -O6 должны страдать.
что же, как не pixbuf, стоит собираться с -O3 ? Риторический вопрос, но может у тебя на него есть ответ.
|  | |
|
4.24, пох (?), 12:27, 31/08/2017 [^] [ответить] [к модератору]
| –1 +/– |
wow, Comdiv молодец, значит. Или кто-то еще, кто не поленился донести до разработчиков.
|  | |
|
|
2.33, Аноним (-), 13:24, 31/08/2017 [^] [ответить] [к модератору]
| +1 +/– |
> Что-то даже такого сходу таких уязвимостей и не припомню сходу.
Потому что очень мало кто использует clang с -O3. Практически все основные дистрибутивы GNU/Linux собираются gcc с -O2.
|  | |
|
3.58, Аноним (-), 22:43, 31/08/2017 [^] [ответить] [к модератору]
| –1 +/– |
Интереснее как можно так написать компилятор, что он выкидывает значащий код работающий с int.
|  | |
|
|
|
2.5, Аноним (-), 09:49, 31/08/2017 [^] [ответить] [к модератору]
| –3 +/– |
В дельфи еще лучше - он при таких UB в рантайме exception'ы генерирует (ну при определенных настройках).
|  | |
|
1.7, anonimus (?), 09:55, 31/08/2017 [ответить] [показать ветку] [···] [к модератору]
| +2 +/– |
А в тикете написано
When this code is compiled with GCC 6.1 or Clang 3.8 with "-O2" flag, the
overflow check (rowstride / channels != width) is eliminated completely by the
compiler.
|  | |
|
2.16, z (??), 10:54, 31/08/2017 [^] [ответить] [к модератору]
| –4 +/– |
> Может не надо ничего из кода удалять компиляторам? Развели ИИ в переводчике,
> а теперь страдаем что неверно нас понимает комп ...
Я вот тоже не пойму косяк компилятора, а баг а либе
|  | |
2.22, h31 (ok), 11:52, 31/08/2017 [^] [ответить] [к модератору]
| +/– |
Без проблем. Собирай всё с -O0, расскажешь нам о результатах. Особенно о производительности. По моим наблюдениям - снизится раза в 2.
|  | |
|
|
|
3.54, VINRARUS (ok), 21:21, 31/08/2017 [^] [ответить] [к модератору]
| –1 +/– |
Под Qt готовые графические библиотеки и вообще всё вылизывается силами KDE.
А Rust пишется под Firefox, вот когда перейдут тогда и посмотрим.
|  | |
|
|
|
|
|
4.68, pripolz (?), 15:34, 04/09/2017 [^] [ответить] [к модератору]
| +/– |
Компилер не виноват в том, что кто-то там решил, что перегружать 32-битное число допустимо.
Это не ошибка из серии "не заметил", типа
if (a = b) {
..
}
, грязный хак из серии "проверил - работает".
-----------
П.С: как думаешь, жабиные гуи используют GdkPixBuf ? А Сишарповские ? А питоновские?
|  | |
|
|
|
|
2.45, Хряк (?), 17:36, 31/08/2017 [^] [ответить] [к модератору]
| +/– |
Да, чего-то автор наврал про fedora. И ссылка левая. У меня тоже: gdk-pixbuf2-2.36.9-1.fc26
|  | |
|
|
2.67, iZEN (ok), 11:48, 03/09/2017 [^] [ответить] [к модератору]
| –1 +/– |
% pkg info -r tiff
tiff-4.0.8:
sane-backends-1.0.27
lcms2-2.8
webp-0.6.0_3
ghostscript9-agpl-base-9.16_5
netpbm-10.35.98
djvulibre-3.5.27_1
openjpeg15-1.5.2_1
mtpaint-3.40_8
libgxps-0.2.5
sdl_image-1.2.12_10
wx30-gtk2-3.0.2_6
imlib2-1.4.9,2
openjpeg-2.2.0
py27-pillow-3.4.2_1
poppler-0.57.0
poppler-glib-0.57.0
vigra-1.11.0_11
gdk-pixbuf2-2.36.9
- всё равно по зависимостям TIFF будет присутствовать в системе.
|  | |
|
1.53, Андрей (??), 21:06, 31/08/2017 [ответить] [показать ветку] [···] [к модератору]
| +1 +/– |
> Уязвимости устранены в выпуске GDK-Pixbuf 2.36.7. Уязвимости пока остаются неисправленными в Debian, Ubuntu, RHEL, SUSE, openSUSE, FreeBSD, Fedora.
А релиз 2.36.7 был 18 июля, т.е. уже полтора месяца назад всё исправлено и пылится в архивах. А дистрибутивам плевать на обновления. А тут ещё оказывается, что один фикс как раз привлёк внимание хакеров (и, наверняка, крэкеров тоже). Просто замечательно :( Придётся пересобирать дебиан-пакет самому, ведь так просто. Но неужели каждый должен это делать сам вручную, не для этого ли существуют дистрибутивы?
|  | |
|
2.59, Michael Shigorin (ok), 00:40, 01/09/2017 [^] [ответить] [к модератору]
| –1 +/– |
>> Уязвимости устранены в выпуске GDK-Pixbuf 2.36.7. Уязвимости пока остаются
>> неисправленными в Debian, Ubuntu, RHEL, SUSE, openSUSE, FreeBSD, Fedora.
> А релиз 2.36.7 был 18 июля, т.е. уже полтора месяца назад всё
> исправлено и пылится в архивах. А дистрибутивам плевать на обновления.
Вот не надо обобщать: https://packages.altlinux.org/ru/p8/srpms/libgdk-pixbuf/changelog
|  | |
2.60, 0x0 (?), 00:46, 01/09/2017 [^] [ответить] [к модератору]
| +/– |
> для этого ли существуют дистрибутивы?
И для этого тоже. Дистрибутивам потенциальных контрибъюторов стимулировать как-то ж надо :)
|  | |
|
3.63, Андрей (??), 03:27, 01/09/2017 [^] [ответить] [к модератору]
| –1 +/– |
Если бы Дебиан что-то github'а/gitlab'а настроили, а то в https://anonscm.debian.org/git/ ничего кроме как почитать или клонировать не сделаешь. Разве что патчи слать, что иногда делаю. Но когда один раз кучу работы просто "не заметили", а потом сделали "сами" те же изменения, то это хорошенько демотивировало. Или когда шлёшь патч, а они да, говорят или не даже не говорят спасибо, и комитят под своим именем. Как такое называется!?
|  | |
|
|
|
|