The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в библиотеке libjpeg-turbo"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от opennews (??), 12-Ноя-19, 22:19 
В  libjpeg-turbo, библиотеке для кодирования и декодирования изображений в формате JPEG, выявлена уязвимость (CVE-2019-2201), приводящая к целочисленному переполнению и последующему повреждению содержимого кучи при обработке определённым образом оформленных файлов в формате JPEG. Потенциально уязвимость не исключает возможность создания эксплоита для организации выполнения кода в системе (для атаки требуется обработка очень большого изображения с разрешением на уровне 26755 x 26755)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51847

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в библиотеке libjpeg-turbo"  –4 +/
Сообщение от Аноним (1), 12-Ноя-19, 22:19 
Это для тех кто не понимает в соседней
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость в библиотеке libjpeg-turbo"  –4 +/
Сообщение от Аноним (2), 12-Ноя-19, 22:28 
> приводящая к целочисленному переполнению

Странно. Обычно в программах, написанных на Си, такого не бывает. И тут нá тебе.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость в библиотеке libjpeg-turbo"  –10 +/
Сообщение от VINRARUS (ok), 12-Ноя-19, 23:28 
Ну всё таки С не ASM, очень секьюрно не напишеш, возможностей маловато.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

44. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от Аноним (44), 13-Ноя-19, 15:31 
Наоборот чем меньше возможностей тем безопаснее. Вот взять язык без указателей и вот как в них что-то сломать вообще не понятно
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

76. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от draw1 (?), 13-Ноя-19, 23:03 
Вот взять водяной пистолет, и вот как из него можно застрелиться вообще непонятно. Они намного  безопаснее обычных.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

83. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от saw (??), 14-Ноя-19, 07:31 
Всё дело в размере...
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

11. "Уязвимость в библиотеке libjpeg-turbo"  +16 +/
Сообщение от Аноним (11), 12-Ноя-19, 23:59 
Странно, что ты не скинул ссылку на свою более быструю и качественную либу на твоём волшебном языке без переполнений.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Уязвимость в библиотеке libjpeg-turbo"  –11 +/
Сообщение от Аноним (2), 13-Ноя-19, 00:05 
Ничего странного в этом нет: все знают, что Си - это не только быстро, но и безопасно. Память под надежной охраной.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Уязвимость в библиотеке libjpeg-turbo"  +12 +/
Сообщение от Аноним (17), 13-Ноя-19, 02:18 
Так с кривыми руками и отсутвующей головой: никакие проверки диапазона - всёравно не помогают же, не Сишникам.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

65. "Уязвимость в библиотеке libjpeg-turbo"  –2 +/
Сообщение от Аноним (-), 13-Ноя-19, 17:52 
Хорошо быть тобой, мр. робот!
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

92. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (92), 17-Ноя-19, 00:04 
Откровенная подпись...
(p.s. всегда как программист знал что каптчи - фуфло против тролле-ботов,
и даже вероятно, когда каптча внешние например на др.сайтах, чисто предлог для [гугл] js-отслеживания)
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

30. "Уязвимость в библиотеке libjpeg-turbo"  +3 +/
Сообщение от asdasd (?), 13-Ноя-19, 09:12 
Только вот "складывать" в памяти даже CISC не умеет, переполнение происходит в регистрах и это может произойти в любом "нативном" языке для базовых типов (если у вас какой-нибудь integer это объект, то сравнивать некоректно).
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

72. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (72), 13-Ноя-19, 19:51 
Этот любитель раста порвался, несите следующего!
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от EnemyOfDemocracy (?), 13-Ноя-19, 03:20 
Правило "Пусть каждая программа делает что-то одно, но хорошо" появилось именно из-за Си. Простую программу легко написать и легко проконтролировать работу с памятью, а вот большая софтина это уже многократно возросшая сложность и минное поле.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "Уязвимость в библиотеке libjpeg-turbo"  +7 +/
Сообщение от Crazy Alex (ok), 13-Ноя-19, 03:42 
Да не из-за си, дурилка ты картонная, а из-за того, что сложность с ростом объёма вообще растёт нелинейно. Не зависит это языка. Ну и из-за того, что тогда софт нужен был тем, кто понимал, как им пользоваться, и комбинаторный взрыв возможностей - штука для компетентного пользователя крайне полезная.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

66. "Уязвимость в библиотеке libjpeg-turbo"  +2 +/
Сообщение от Аноним (-), 13-Ноя-19, 18:09 
По вашему те 70% ошибок работы с памятью, которые допустили программисты майкрософт пишущие на Си, будут магическим образом замещены ошибками другого типа?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

80. "Уязвимость в библиотеке libjpeg-turbo"  +2 +/
Сообщение от Аноним (80), 13-Ноя-19, 23:46 
> По вашему те 70% ошибок работы с памятью, которые допустили программисты майкрософт пишущие на Си, будут магическим образом замещены ошибками другого типа?

Ну вообще-то да.

- SQL-инъекции,
- отсутствие проверок входных параметров,
- отсутствие проверки подписи ssl-сертификата,
- отсутствие проверок на граничные условия,
- утечка памяти из-за того, что вместо перезаписи старого элемента массива по ошибке всегда добавляем новый,
- проблемы связанные с неполным пониманием того, как КОНКРЕТНО работают 20 используемых сторонних библиотек,
- незначительное изменение поведения при обновлении версии сторонней библиотеки, которое в нашем случае привело к ошибке,
- похапе, яваскрипт, ява, никакого си.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

25. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от Иваныч (??), 13-Ноя-19, 06:34 
А как <insert language name here> справляется с целочисленным переполнением при умножении двух случайных входящих чисел? Чтобы не подбирать Exception, или пробивать CPU Flag, на каждую математическую операцию. Простейший способ, в их варианте, было бы взять предположение что размер изображения не будет превышать 65535 по любой из сторон. Тогда результат умножения явно помещается в UInt32 откуда уже можно делать выводы о том как действовать дальше.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

27. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (27), 13-Ноя-19, 08:20 
Простейший способ, в их варианте, было бы взять предположение что размер изображения не будет
превышать 65535 по любой из сторон.

Вот так и появилось крылатое "640kb памчти хватит всем" :)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

31. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от А (??), 13-Ноя-19, 10:35 
Вот сразу верю. Так и было!

Stupid попытался сделать simple. Из рекомендации про simple нужно убрать обращение к stupid.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

82. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (82), 14-Ноя-19, 07:28 
Иди учи мАтематику анон. 32битный такого размера это 16гиг
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

67. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (-), 13-Ноя-19, 18:10 
Некоторые <insert language name here> не допустят переполнения кучи.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

68. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (-), 13-Ноя-19, 18:11 
>переполнения

переписания, извините

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

89. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним84701 (ok), 14-Ноя-19, 16:44 
> А как <insert language name here> справляется с целочисленным переполнением при умножении
> двух случайных входящих чисел? Чтобы не подбирать Exception, или пробивать CPU Flag, на каждую математическую операцию.

Нормально справляются:
https://gcc.gnu.org/onlinedocs/gcc/Integer-Overflow-Builtins...
И пробивать обычно ничего не нужно: jo/jno/jс/bv<непомнючтотам> и т.д уже придумали давно.

> The compiler will attempt to use hardware instructions to implement these built-in functions where possible, like conditional jump on overflow after addition, conditional jump on carry etc.
>

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

26. "Уязвимость в библиотеке libjpeg-turbo"  +3 +/
Сообщение от Аноним (26), 13-Ноя-19, 07:23 
Засчитано. В кассу за гонораром.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

28. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (28), 13-Ноя-19, 08:32 
За "вспомнити libjpeg-turbo" теперь тоже будут платить?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

3. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (3), 12-Ноя-19, 22:32 
Турбо-уязвимость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимость в библиотеке libjpeg-turbo"  +6 +/
Сообщение от A.Stahl (ok), 13-Ноя-19, 00:09 
Uses crt;
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "Уязвимость в библиотеке libjpeg-turbo"  +8 +/
Сообщение от Аноним (18), 13-Ноя-19, 03:19 
> Uses crt;

Тест на возраст? :D

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

35. "Уязвимость в библиотеке libjpeg-turbo"  +2 +/
Сообщение от Аноним (35), 13-Ноя-19, 12:05 
На память
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

4. "Уязвимость в библиотеке libjpeg-turbo"  –11 +/
Сообщение от Аноним (4), 12-Ноя-19, 22:36 
>повреждению содержимого кучи

Что за куча?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимость в библиотеке libjpeg-turbo"  +6 +/
Сообщение от Sluggard (ok), 12-Ноя-19, 22:47 
https://ru.wikipedia.org/wiki/Куча_(память)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Уязвимость в библиотеке libjpeg-turbo"  –2 +/
Сообщение от Аноним (4), 12-Ноя-19, 22:49 
спасибо, брат
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

56. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от Аноним (56), 13-Ноя-19, 16:57 
Образование не нужно.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Уязвимость в библиотеке libjpeg-turbo"  –1 +/
Сообщение от Ivan_83 (ok), 12-Ноя-19, 23:27 
Так и вижу этот фикс:
+ if (x >= 26755 && y >= 26755)
+  return (EINVAL);

А теперь оказалось что вариант когда x = 26754 а y = 999999 тоже надо фиксить :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (9), 12-Ноя-19, 23:47 
return это не функция и потому не требует скобок.

"Убивать надо таких знатоков" (c)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Уязвимость в библиотеке libjpeg-turbo"  +3 +/
Сообщение от Аноним (2), 12-Ноя-19, 23:53 
> return это не функция
>
>
> и потому не требует скобок

Нет, не потому. if тоже не функция, но скобки "почему-то" требует.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Уязвимость в библиотеке libjpeg-turbo"  –4 +/
Сообщение от Аноним (11), 13-Ноя-19, 00:00 
Я тоже держу под рукой справочник по c специально для опеннета
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

20. "Уязвимость в библиотеке libjpeg-turbo"  +2 +/
Сообщение от anon2 (?), 13-Ноя-19, 03:42 
>return это не функция и потому не требует скобок.

Ага, как и sizeof.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

78. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (78), 13-Ноя-19, 23:16 
Требует.
Попробуй узнать размер int или char.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

85. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (85), 14-Ноя-19, 12:17 
Зачем например? Принимаю, что у всех разный опыт, но даже вспомнить не могу, когда мне это требовалось. Для маллока всегда указываю в sizeof саму переменную.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

90. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (78), 16-Ноя-19, 00:07 
> Зачем например?

Чтобы увидеть ошибку и обратиться, наконец, к документации, вместо того, чтоб считать себя избранным, которому открылась истина.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

46. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Ivan_83 (ok), 13-Ноя-19, 15:35 
Я в курсе, но предпочитаю использовать скобки по максимуму.
Даже в выражениях: int v = ((42 * 1024) + 32);
потому что я уже наступал всякие неявные грабли с этим.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

70. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от Аноним (70), 13-Ноя-19, 19:15 
Ты наверно делил x/y+z вместо x/(y+z) гуманитариям такое простительно.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

77. "Уязвимость в библиотеке libjpeg-turbo"  +2 +/
Сообщение от draw1 (?), 13-Ноя-19, 23:08 
> гуманитариям такое простительно.

Зато технарям непростительно не ценить время того кто будет читать твой код

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

86. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (85), 14-Ноя-19, 12:19 
Согласен. Самый читабельный код - на лиспе.
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

87. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (85), 14-Ноя-19, 12:25 
Я готов понять, что вы не помните, что выполняется первым: умножение-деление или сложение-вычитание. Но вторые-то скобки зачем? Боитесь, что сначала оно присвоит результат умножения переменной, а потом добавит 32 в никуда?
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

88. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Ivan_83 (ok), 14-Ноя-19, 13:03 
Скорее привычка, я бы точно так же написал буть оно в if () или в аргументе макроса/функции, да и единообразность проще поддерживать.
К тому же при визуальном парсинге всё что внутри () легче вычленять как некий один объект.
И я не исключаю что всё ещё можно нарватся на странный компилятор или интерпретатор.
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

91. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (78), 16-Ноя-19, 00:10 
> К тому же при визуальном парсинге всё что внутри () легче вычленять как некий один объект.

va(
vi(
?

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

15. "Уязвимость в библиотеке libjpeg-turbo"  +3 +/
Сообщение от Аноним (15), 13-Ноя-19, 00:22 
+ if (x >= 26755 || y >= 26755)
+  return (EINVAL);
Я его починил!
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

33. "Уязвимость в библиотеке libjpeg-turbo"  –2 +/
Сообщение от Аноним (33), 13-Ноя-19, 11:46 
+ if (x + y >= 53510)
+  return (EINVAL);
починил еще сильнее!
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

38. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от КО (?), 13-Ноя-19, 13:30 
А если сумма будет отрицательной?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

40. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (40), 13-Ноя-19, 14:02 
Будет новая фича.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

42. "Уязвимость в библиотеке libjpeg-turbo"  –1 +/
Сообщение от bvs23bkv33email (?), 13-Ноя-19, 15:19 
если сумма будет отрицательной то свой жипег посмотрите в соседнем измерении
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

47. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Ivan_83 (ok), 13-Ноя-19, 15:37 
Тогда заменим int на uint32_t или size_t, ибо нефик!
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

49. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от Аноним (49), 13-Ноя-19, 15:59 
А ведь можно пройти по ссылке и посмотреть. Но зачем, если можно просто пёрнуть в комментах.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (16), 13-Ноя-19, 01:44 
Юзается в slim session manager.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (22), 13-Ноя-19, 05:17 
Тот вроде уже давно всё, очень давно. Да и до того, как он был всё, его приходилось патчить ведром патчей. Это будет не единственная уязвимость в нём.

У меня получился такой список уязвимого:

virtual/jpeg-0-r3
www-client/firefox-70.0.1
app-emulation/wine-staging-4.19
app-emulation/wine-vanilla-4.0.2
app-text/poppler-0.82.0
dev-python/pillow-6.2.1
dev-qt/qtgui-5.12.5
kde-apps/gwenview-19.08.3
kde-apps/okular-19.08.3
kde-frameworks/khtml-5.64.0
media-libs/gst-plugins-base-1.14.5-r1
media-libs/lcms-2.9
media-libs/libwebp-1.0.3
media-libs/tiff-4.1.0
media-video/mpv-0.30.0
x11-libs/gdk-pixbuf-2.40.0

Т.е. примерно 100% софта. Неприятненько.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

24. "Уязвимость в библиотеке libjpeg-turbo"  +2 +/
Сообщение от Аноним (22), 13-Ноя-19, 06:05 
Кстааати, о пользе бандленного софта: это же факт, что куча проектов используют уязвимую библиотеку и не зависят от системной. Включая firefox? Я нашёл только упоминания о версии 2.0.0 в исходниках. Но, впрочем я не нашёл и файлов, которые затрагивали исправления (их там нет?), хотя это ни о чём не говорит. Налицо спланированная акция против госслужб с файрфоксом? Надо было пользоваться IE. [trollface]
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от ryoken (ok), 13-Ноя-19, 08:56 
Список по оформлению уж очень напоминает гентушный :).
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от MS (??), 13-Ноя-19, 11:18 
> Т.е. примерно 100% софта. Неприятненько.

ну а чего ты хочешь - эпоха зависимостей всего от всего. И "опенсорсного" софта, собираемого единственноверным образом с максимумом включенных крыжиков (вот например - libtiff'у эта зависимость прям охрененно нужна. Наверное, есть целый один экземпляр tiff-файла с jpeg-encoded внутри. В парижской палате мер и  весов хранится, где-то в соседнем шкафу с эталонным ненужно.)

отдельный, понятно, вопрос, для чего на самом деле типовой линуксер использует что-то что на самом деле использует libtiff.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

34. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от Аноним (22), 13-Ноя-19, 12:00 
Мне повезло, в моём дистрибутиве можно собирать с минимумом зависимостей. И libtiff собран без jpeg и и jbig (что это вообще?), зато с webp. А libwebp уже собран с jpeg (и png), не знаю зачем они ему. Скорее всего иначе будет не сконвертировать эти файлы в webp штатной конвертилкой.

А вот вне опенсорса сложнее, та же libjpeg-turbo из новости в "проприетарном" софте будет идти статически скомпилированной и пользователь даже не узнает об уязвимостях.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

36. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от пох. (?), 13-Ноя-19, 12:18 
> Мне повезло, в моём дистрибутиве можно собирать с минимумом зависимостей.

тут надо скорее дистрибутив, где можно собрать несколько версий и выбрать нужную для конкретного применения. Но таких не видно (а если и сделать - будет чудовищно криво).

> JBIG is an early lossless image compression standard from the Joint Bi-level Image Experts Group

встречается даже еще чаще чем jpeg внутри tiff - то есть примерно никогда. Где-то рядом с jpeg2000.

> А вот вне опенсорса сложнее, та же libjpeg-turbo из новости в "проприетарном" софте будет идти
> статически скомпилированной и пользователь даже не узнает об уязвимостях.

ну вот она у тебя в мурзиле статически скомпилированная, об уязвимости ты знаешь - и что толку?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (22), 13-Ноя-19, 12:27 
>в мурзиле статически скомпилированная

Мурзила собрана llvm и с пульсой, поэтому я пересобираю её с gcc и без пульсы. Каких-либо особых затрат это не стоит: раньше обновление было 15 минут вместо 1, теперь с рустом дополнительно несколько часов уходит на руст.

>что толку

Как только она обновится, весь софт от неё зависящий тут же исправится (но всё же передаём привет мурзиле, которая бандлит библиотеки), и голова не будет болеть о том что где-то остались дыры.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

50. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Crazy Alex (ok), 13-Ноя-19, 16:02 
Мурзиле разве в генте нельзя сказать, чтобы системные использовала? палемуну можно
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

52. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (22), 13-Ноя-19, 16:45 
Можно, собственно так и делаю. Но тогда системные библиотеки привязаны к мурзиле, а это возможно ещё хуже чем уязвимая мурзила.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

61. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (61), 13-Ноя-19, 17:25 
>ну вот она у тебя в мурзиле статически скомпилированная, об уязвимости ты знаешь - и что толку?

Мурзиллу эта уязвимость затрагивает чуть менее, чем никак

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

43. "Уязвимость в библиотеке libjpeg-turbo"  +2 +/
Сообщение от Аноним (61), 13-Ноя-19, 15:27 
>jbig (что это вообще?)

Алгоритм сжатия монохромных изображений, используется, например, в PDF

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

45. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (22), 13-Ноя-19, 15:33 
Я уже понял, это можно использовать для двухцветных сканов типа факсов. Tiff тоже для сканов применяется.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

59. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (61), 13-Ноя-19, 17:22 
Не обязательно двухцветных, можно внутри PDF сделать слоенку типа DjVu, с основным двухцветным слоем и цветными background и foreground
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

60. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (61), 13-Ноя-19, 17:24 
Да и внутри TIFF тоже можно, т.к. там есть слои
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

51. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Crazy Alex (ok), 13-Ноя-19, 16:04 
Неудачный пример. Конкретно libtiff надо собирать примерно со всем - если, конечно, вас вообще tiff интересует, а не "чтобы сорабось что-то ещё, от ней зависящее". Пихают в него аж бегом и jpeg и чёрта лысого.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

53. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (61), 13-Ноя-19, 16:46 
>отдельный, понятно, вопрос, для чего на самом деле типовой линуксер использует что-то что на самом деле использует libtiff.

Чтобы открывать TIFF-файлы, для чего же еще. А в TIFF-файле может быть много чего, в том числе и JPEG

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

48. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Ivan_83 (ok), 13-Ноя-19, 15:46 
Во фрёвых портах он вполне себе живой.
Но я посмотрел в код, это конечно очень ужасно, понятно почему оно умерло - не знаешь с чего начать переписывать :)

Сморел LightDM, но не сильно внутрь, в целом не плохо, но на мой вкус ровно те же болячки что и у слима - оно не умеет:
- запускать хорг с повышенным приоритетом
- делать чтобы хоргу не приходил оом киллер
- делать нормальный логон в систему подобно su -l, так чтобы login.conf и прочее отрабатывалось

Зато умеет:
- вроде как переключение юзеров
- чуть более вменяемый гуй с плагинами
- какие то доп переменные среды выставляет

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

58. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (61), 13-Ноя-19, 17:20 
И что из этого списка использует API TurboJPEG? Вангую, что ничего
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

62. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (61), 13-Ноя-19, 17:29 
>Тот вроде уже давно всё, очень давно. Да и до того, как он был всё, его приходилось патчить ведром патчей.

Странно, у меня в генте просто работает

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

64. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (22), 13-Ноя-19, 17:45 
Я раньше пользовался, баги лезли регулярно.

>в генте

Ну как тебе сказать... Оно то может и работает, но... Это сродни использованию исключительно софта на gtk1 (по религиозным причинам).

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

74. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от Аноним (74), 13-Ноя-19, 21:28 
Тулкитофобия это болезнь. Если бы я например не перешел на mocp, без проблем пользовался бы сейчас xmms на gtk1
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

75. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (22), 13-Ноя-19, 22:27 
> Тулкитофобия это болезнь. Если бы я например не перешел на mocp, без
> проблем пользовался бы сейчас xmms на gtk1

Проблема скорее в дырах и в том, что старый гтк не оч сегодня, совсем не оч, а не в фобиях. Новый гтк не оч по другим причинам. Я вот даже к wxgtk нормально отношусь, если он работает и его достаточно, но он довольно куцый. Те же куцые файловые диалоги из гтк мешают.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

79. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от draw1 (?), 13-Ноя-19, 23:20 
> Т.е. примерно 100% софта. Неприятненько.

Ну бывает ещё, что использующий библиотеку софт, например, не использует прям все-все-все возможности бибилиотеки или использует со своими собственными ограничениями на входные данные (например, сам отбрасывает изображения больше чем 20000 x 20000 и т. п.) или ещё каким-то образом (случайно или намеренно) никогда не создают в работе условия для проявления уязвимости.

Я не утверждаю и не оправдываю, нет. Просто, мне кажется, выводы про уязвимость уж сразу всего зависимого софта слегка поспешные.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

23. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от Аноним (22), 13-Ноя-19, 05:21 
А не помог ли бы тут fuzzing? Эта библиотека — критический системный софт, могли бы и потестировать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от Аноним (61), 13-Ноя-19, 17:19 
>А не помог ли бы тут fuzzing?

Фуззили бы все равно API libjpeg, в котором нет уязвимостей, а не API TurboJPEG, которым никто не пользуется

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

63. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (22), 13-Ноя-19, 17:39 
Почему тогда новость не звучит как "уязвимость в TurboJPEG апи библиотеки libjpeg-turbo"? Не ясно вообще зачем оно нужно, тут вроде говорят что оно не нужно https://libjpeg-turbo.org/About/TurboJPEG

// Фуззили бы кусками? Наверняка в какой-нибудь джаве и турбо апи используется.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

69. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (61), 13-Ноя-19, 18:11 
>Почему тогда новость не звучит как "уязвимость в TurboJPEG апи библиотеки libjpeg-turbo"?

Потому что авторы новостей не опускаются до изучения технических подрбностей, надо делать побольше новостей и пожелтее заголовки

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

41. Скрыто модератором  +/
Сообщение от Pistrun (?), 13-Ноя-19, 14:40 
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. Скрыто модератором  +/
Сообщение от Аноним (61), 13-Ноя-19, 16:47 
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

55. Скрыто модератором  +2 +/
Сообщение от Аноним (56), 13-Ноя-19, 16:55 
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

71. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Аноним (70), 13-Ноя-19, 19:17 
Либру офис можно ронять через этот баг. Но зачем?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Уязвимость в библиотеке libjpeg-turbo"  +1 +/
Сообщение от Аноним (22), 13-Ноя-19, 20:55 
> Либру офис можно ронять через этот баг. Но зачем?

Затем же, зачем овнят корпоративные системы и госсектор через макросы вба, разницы примерно нет. Открываешь документ с почты и привет.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

81. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от Анонрррррр (?), 14-Ноя-19, 00:13 
if (retval > (unsigned long long)((unsigned long)-1))
    THROWG("tjBufSize(): Image is too large");

Выглядит так себе, прямо скажем. Пора переписать на расте красиво

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

84. "Уязвимость в библиотеке libjpeg-turbo"  +/
Сообщение от trolleybusemail (?), 14-Ноя-19, 09:21 
> В дистрибутивах проблема остаётся неисправленной

В арче, как обычно, все исправлено: https://www.archlinux.org/packages/extra/x86_64/libjpeg-turbo/

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру