The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В мультимедийном фреймворке GStreamer выявлено 29 уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В мультимедийном фреймворке GStreamer выявлено 29 уязвимостей"  +/
Сообщение от opennews (?), 20-Дек-24, 12:44 
В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 29 уязвимостей. Восемь уязвимостей приводят к записи данных за пределы буфера, а одна (CVE-2024-47540) к перезаписи указателя на функцию. Указанные уязвимости могут потенциально использоваться злоумышленниками для организации выполнения кода при обработке некорректно оформленных мультимедийных данных в форматах MKV, MP4,  Ogg, Vorbis и Opus, а также субтитров в формате SSA. Остальные уязвимости приводят к разыменованию нулевого указателя или чтению из области памяти за границей буфера, т.е. могут использоваться для инициирования аварийного завершения...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62441

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Афроним (?), 20-Дек-24, 12:44 
Зато легче для кодера чем ффмпег.
Ответить | Правка | Наверх | Cообщить модератору

37. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (-), 20-Дек-24, 16:24 
> Зато легче для кодера чем ффмпег.

Конечно легче - вон насколько оно "перфорированно".
Зато потешатся любители экономить каждый байт памяти и не важно, что дырявое)

Ответить | Правка | Наверх | Cообщить модератору

115. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +3 +/
Сообщение от Skullnetemail (ok), 21-Дек-24, 02:19 
Видимо никогда не пробовал его юзать, документации по нему ноль. Если что-то не работает, то хз почему. Лучше уж ффмпег.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +6 +/
Сообщение от Аноним (2), 20-Дек-24, 12:50 
Сишные указатели)
Ответить | Правка | Наверх | Cообщить модератору

16. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (16), 20-Дек-24, 13:19 
Тебе что взломали через них?
Ответить | Правка | Наверх | Cообщить модератору

51. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +7 +/
Сообщение от Аноним (51), 20-Дек-24, 17:10 
Brain
Ответить | Правка | Наверх | Cообщить модератору

122. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Аноним (122), 21-Дек-24, 05:02 
К счастью, он, всё равно, не использовался.
Ответить | Правка | Наверх | Cообщить модератору

134. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (2), 21-Дек-24, 21:26 
Ага, Brain то явно через указатели ломали. Указали куда надо, а там полный беспредел.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

19. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (19), 20-Дек-24, 13:28 
А, всё прочее - не указатели, учим матчатсть...
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

53. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (51), 20-Дек-24, 17:12 
Указатели есть везде, даже в Паскале. Просто не все их показывают.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

102. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (102), 20-Дек-24, 20:39 
Указателей практически нигде нет, исключение это си, плюсы, и ещё сравнительно небольшой список языков. В других языках ссылки. Ссылки не допускают арифметики укзателей, произвольных преобразования, ссылок на несуществующие участки памяти и так далее. Даже с учётом указателей, можно взять зависимые типы и строго контролировать происходящее. Но сишники слишком увлечены порчей памяти, чтобы знать об этом.
Ответить | Правка | Наверх | Cообщить модератору

120. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (120), 21-Дек-24, 04:27 
Как мне тогда прочитать данные из устройства по адресу 0xacabb33f
Ответить | Правка | Наверх | Cообщить модератору

132. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от YetAnotherOnanym (ok), 21-Дек-24, 20:43 
Не надо читать данные по адресу, это дырень же ж!
Ответить | Правка | Наверх | Cообщить модератору

148. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (148), 24-Дек-24, 11:13 
По ссылке и прочитать. http://0xacabb33f
Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

121. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от anonymos (?), 21-Дек-24, 04:29 
Когда ты пишешь очередную формочку с кнопочками, тогда указатели не нужны.
А вот когда работаешь с железом, то "я их дом труба шатал", кто думает что лучше меня знает, как нужно сделать в данном конкретном случае. Указатели - это свобода реализации своих замыслов.
Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

147. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Бывалый Смузихлёб (ok), 24-Дек-24, 10:17 
тогда почему в разных ЯП столько дыр с памятью если почти везде ссылки которые практически ничего не допускают и почти всё контролируют ?
Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

149. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (149), 25-Дек-24, 18:30 
10 лет работаю с дотнетом, не видел уязвимостей с памятью ни разу.
Ответить | Правка | Наверх | Cообщить модератору

150. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от EULA (?), 26-Дек-24, 06:58 
Поэтому в .Net столько CVE, позволяющих выполнить произвольный код или переписать занятый участок памяти...
Ответить | Правка | Наверх | Cообщить модератору

106. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (-), 20-Дек-24, 21:00 
> не все их показывают.

Я б сказал, не все доверяют программисту работать с указателями так, как тому захотелось.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

138. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Дмитрий (??), 22-Дек-24, 12:24 
A нужно наказывать!
Ответить | Правка | Наверх | Cообщить модератору

3. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (3), 20-Дек-24, 12:50 
нахрен gstreamer кстати? есть же ffmpeg.
Ответить | Правка | Наверх | Cообщить модератору

7. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +5 +/
Сообщение от Аноним (7), 20-Дек-24, 13:06 
ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень, но факт). Вот и носятся с ним.
Ответить | Правка | Наверх | Cообщить модератору

12. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (12), 20-Дек-24, 13:11 
> ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень

вас там двое в одной голове ? второй кстати прав

Ответить | Правка | Наверх | Cообщить модератору

29. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (12), 20-Дек-24, 15:25 
> второй кстати прав

а это для первого

https://theirstack.com/en/technology/ffmpeg/us

Ответить | Правка | Наверх | Cообщить модератору

13. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (3), 20-Дек-24, 13:12 
а че, как с freetype нельзя? в их сша-френдли репах поставлять ffmpeg без поддержки мпега (через какой-нибудь -DENABLE_MPEG=0), но позволять заменять ffmpeg другими билдами, где мпег включен. С freetype-ом так и было: в федоре шел без поддержки subpixel antialias, но в rpmfusion он был включен. Так что вопрос открытый: нахрена gstreamer, когда можно без gstreamer.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (11), 20-Дек-24, 13:10 
Прежде чем задавать такой вопрос, тебе надо бы понять что такое ffmpeg и что такое gstreamer. Тогда твой вопрос перестанет иметь смысл.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (4), 20-Дек-24, 12:51 
Совет в конце статьи нерабочий на не древних дистрибутивах, гении из GNOME переименовали tracker miner на TinySPARQL.
Ответить | Правка | Наверх | Cообщить модератору

14. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (14), 20-Дек-24, 13:15 
Из eng wiki:
"TinySPARQL is a general-purpose SPARQL-based database;"
В debian testing никакой tinysparql нет.
Есть библиотека базы данных libtracker-sparql для tracker.
Сами сервисы в пакетах tracker, tracker-miner-fs, tracker-extract и маскировать надо их.
Ответить | Правка | Наверх | Cообщить модератору

33. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (33), 20-Дек-24, 15:55 
Переименовали , потому что в tracker-miners одна уязвимость за другой. Совет тут простой. GNOME и подобные жирные куски раздать нуждающимся, а самому воздержаться.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +4 +/
Сообщение от НяшМяш (ok), 20-Дек-24, 12:53 
KDE с выходом 6 плазмы перетащил свой Phonon на libvlc. Интересно было бы там уязвимости глянуть.
Ответить | Правка | Наверх | Cообщить модератору

10. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (7), 20-Дек-24, 13:10 
Phonon чисто kde-либа а кедовский плеер сильно проигрывает тому же mpv (имхо самый нормальный плеер для линукса). Так что - эталонное ненужно.
Ответить | Правка | Наверх | Cообщить модератору

26. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 15:02 
> Интересно было бы там уязвимости глянуть.

Дык глянь или моск совсем уже оджавпскриптился

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

27. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (-), 20-Дек-24, 15:17 
>> Интересно было бы там уязвимости глянуть.
> Дык глянь

Зачем? Проще подождать и почитать на опеннете очередную новость "в libvlc нашли уязвимости"

> или моск совсем уже оджавпскриптился

фу как некрасиво, тебе бы поработать над своим воспитанием, раз родители недоработали.

Ответить | Правка | Наверх | Cообщить модератору

15. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (16), 20-Дек-24, 13:17 
О нет злоумышленник может уронить плеер с хентаем со сторонней акдиодородкой какой ужыс. Срочно переписать.
Ответить | Правка | Наверх | Cообщить модератору

18. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (19), 20-Дек-24, 13:26 
Это библиотеку куда только не пихают...
Ответить | Правка | Наверх | Cообщить модератору

21. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Афроним (?), 20-Дек-24, 13:39 
В Протон сидит.( Протон одна из наиважнейших апликух в невиндовом мире. )
Ответить | Правка | Наверх | Cообщить модератору

23. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Аноним (19), 20-Дек-24, 14:09 
Да статье же указанно - "в приложениях Nautilus (GNOME Files), GNOME Videos и Rhythmbox, а также в развиваемом проектом GNOME поисковом движке tracker-miners" т.е.он там ~облачно сканируя сеть скачивая затрояненне видоролики сам... - мало что ли?
(т.б.в условии неиспользвоании доп..аккаунта под каждое такое приложение... т.е.типично).
Ответить | Правка | Наверх | Cообщить модератору

25. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Rev (ok), 20-Дек-24, 14:47 
Ты можешь скачать аудиокнигу, а она автоматом скачает на сервер злоумышленника все твои файлы с паролями.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

44. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (44), 20-Дек-24, 16:44 
Вывод: не стоит хранить файлы с паролями.
Ответить | Правка | Наверх | Cообщить модератору

55. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (16), 20-Дек-24, 17:17 
Это ты сам долумал как про бабайку. Через сабжевые уязвимости за всю историю не было ни одного взлома.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

42. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Аноним (42), 20-Дек-24, 16:36 
> а также субтитров
> индексирует все файлы в домашнем каталоге без каких-либо действий со стороны пользователя

Т.е ты скачал субтитры для своего хентая, а оно похакало твой комп просто в момент "сохранил на в папку download"
Звучит нормально для СИшных проектов и ГНОМа)).

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

22. Скрыто модератором  –3 +/
Сообщение от Аноним (-), 20-Дек-24, 14:03 
Ответить | Правка | Наверх | Cообщить модератору

28. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (28), 20-Дек-24, 15:18 
Он же на C, что ещё было ожидать? По этой причине не стали его использовать в своё время. И ещё из-за невменяемой схемы распространения с невменяемым разделением плагинов на good/bad/ugly.
Ответить | Правка | Наверх | Cообщить модератору

54. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (51), 20-Дек-24, 17:15 
FFmpeg на Rust переписали?
Ответить | Правка | Наверх | Cообщить модератору

56. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (16), 20-Дек-24, 17:18 
Даже на Аду не переписали.
Ответить | Правка | Наверх | Cообщить модератору

74. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 18:02 
> FFmpeg на Rust переписали?

Нет конечно. Это же огроменный кусок ка... кода.
Да и диды копротивляются переписыванию, поэтому по частям не перепишешь. А переписывать все сразу - это очень долго, все-таки кодовая база большая - пилят почти четверть века.

А вот отдельные кодеки и сопутствующее на раст перерисывают -  rust-av, rav1e, rav1d, ivf-rs, matroska, ffv1, av-mp4, lewton и тд. Но понятно что процесс будет не быстры.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

89. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (44), 20-Дек-24, 18:45 
А где же нейросети, про которые столько говорят? Вот, мол, нейросеть перепишет весь код с "дыряшки" на Раст?
Ответить | Правка | Наверх | Cообщить модератору

92. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +3 +/
Сообщение от Аноним (92), 20-Дек-24, 18:52 
> А где же нейросети, про которые столько говорят?
> Вот, мол, нейросеть перепишет весь код с "дыряшки" на Раст?

Эм... кто такое говорит? Я слышал из реального только одни экспериментальный проект у DARPA (opennet.ru/opennews/art.shtml?num=61656). И больше про него ничего слышно не было.
А если ты про местных комментаторов... То пфффф.

Основная проблема что тебе нужно сеть на чем-то обучить.
А большая часть си кода - это лютый 6ыdloкод без проверок, с нарушением прав владения (да, в сишке нет явного borrowing, но неявный есть всегда и его все равно нужно соблюдать), поточности и тд.
Как ты его на раст оттранслируешь? Оно просто не скомпилируется.
Там местами вообще архитектуру менять придется.


Ответить | Правка | Наверх | Cообщить модератору

31. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от 12yoexpert (ok), 20-Дек-24, 15:37 
исследование от майкрософт, которые пытаются везде пропихнуть раст, о том, что везде нужно пропихнуть раст. классика, но уже скучно
Ответить | Правка | Наверх | Cообщить модератору

35. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (35), 20-Дек-24, 16:13 
Да, все уже привыкли к уязвимостям и тому, что всё кругом дырявое. Вяло уже как-то. А если уязвимостей будет ещё меньше, так станет ещё скучнее. А хочется-то веселухи.
Ответить | Правка | Наверх | Cообщить модератору

78. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от 12yoexpert (ok), 20-Дек-24, 18:25 
посмотрю я на тебя через пару лет, когда у тебя в coreutils реклама будет, а отключить ты её не сможешь, потому что всё уже будет на раст, зависящее от сотни фреймфорков и не работающее без цифровой подписи майкрософт
Ответить | Правка | Наверх | Cообщить модератору

91. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 18:49 
> посмотрю я на тебя через пару лет, когда у тебя в coreutils реклама будет, а отключить ты её не сможешь, потому что всё уже будет на раст, зависящее от сотни фреймфорков и не работающее без цифровой подписи майкрософт

Охохоюшки, вот это поток мысли!

Но если опускаться на твой уровень...
То во-первых, типа нельзя будет опенсорсные uutils (coreutils на расте и благословенной свободной MIT) форкнуть и делать с ними что пожелаешь?
А во вторых, на сишке написанно куча проприетарного софта и всем пофиг.

ps ты главное закрывай замки понадежнее, а вдруг придет майкрософт и запилит тебе двери свой цифровой под-пись-ю))

Ответить | Правка | Наверх | Cообщить модератору

142. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от InuYasha (??), 22-Дек-24, 21:06 
Не смешно потому что ЦП M$ уже давно уровнем ниже coreutils сидит.

И не так страшна реклама которую смотришь ты, как реклама которая смотрит тебя.

Ответить | Правка | Наверх | Cообщить модератору

104. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (102), 20-Дек-24, 20:48 
У параноиков не возникает вопрос как си защитит их от цифровой подписи, они строго уверены, что цифровая подпись возможна только на растие. А ещё параноики не доверяют фреймворкам, и пишут код каждый раз с нуля, заново собирая все баги.
Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

118. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от 12yoexpert (ok), 21-Дек-24, 04:15 
> что цифровая подпись возможна только на растие

где ты это прочитал?

Ответить | Правка | Наверх | Cообщить модератору

39. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 16:28 
> исследование от майкрософт, которые пытаются везде пропихнуть раст, о том, что везде нужно пропихнуть раст. классика, но уже скучно

Хм.. т.е это наймиты мелкомягких проникли в команду Г-стримера (код с большой буквы Г) и сделали все эти ошибки-уязвимости?

Какое коварство!
Уже не в первый раз растовики подбрасывают код в штаны СИшникам.
Надо с этим срочно что-то делать!

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

41. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Аноним (35), 20-Дек-24, 16:33 
> Надо с этим срочно что-то делать!

Добавить статических анализаторов, срочно. И ещё, это ... как там, забыл. Блин, важное что-то ... а, просто уметь писать код. Вот тогда уж заживём, и никакой раст не нужен будет.

Ответить | Правка | Наверх | Cообщить модератору

48. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 17:00 
Погоди, Настоящий СИшник пишет отличный код и без всяких анализаторов и прочих смузихлебных новинок.
Вон диды написали кучу кода "на котором мир держится". Такие чудесные проекты как ХОрг, ж-либ-с, ядро линукс.

Ты бы еще предложил на этапе компиляции проверять, чтобы никакой указатель не испортился, чтобы все висячие ссылки проверялись.
А что дальше? Может боровчекер добавить?!
Да ты небось растовик в майкрософте работаешь!!

Ответить | Правка | Наверх | Cообщить модератору

57. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (16), 20-Дек-24, 17:18 
Где переписанное на Раст или аду?
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

124. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (122), 21-Дек-24, 05:12 
Начните срочно анализировать код на Rust'е. И под unsafe-ковер не забудьте заглянуть. Узнаете много нового об уязвимостях.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

34. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +4 +/
Сообщение от Аноним (35), 20-Дек-24, 16:11 
При этом, люди постоянно удивляются - "ну зачем они опять переписывают на раст то, что уже и так написано? Только и могут, что переписывать!"

Главное, когда такие вопросы задаёшь, игнорировать реальность и не замечать новостей про десятки уязвимостей из-за ошибок работы с памятью в одном лишь приложении.

А если даже и замечать, то говорить "ну и что, тебе же ничего через них не сломали!".

Сишкофилам хочется пожелать одного: давайте вы весь военный софт на своей сишечке напишете? Хельсинг вон все бортовые системы управления боевыми дронами пишет на расте. А потом сравним. Как это один известный человек сказал - проведём высокотехнологический эксперимент.

Ответить | Правка | Наверх | Cообщить модератору

43. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от ijuij (?), 20-Дек-24, 16:39 
Просто переход на Rust не уберет уязвимости, они просто изменят свою форму. Не забывай об этом! 🛡️

Ответить | Правка | Наверх | Cообщить модератору

45. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Аноним (35), 20-Дек-24, 16:49 
Если у тебя 50% всех уязвимостей происходят из-за работы с памятью, то уязвимостей станет в два раза меньше. Их не останется столько же в изменённой форме, их станет в два раза меньше. Причём именно они обычно связаны с RCE.
Ответить | Правка | Наверх | Cообщить модератору

49. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 17:01 
> Если у тебя 50% всех уязвимостей происходят из-за работы с памятью

Ну, в данном конкретном случае все 100% - это проблемы с памятью.
Даже всякие Integer underflow потом стреляют из-за OOB.

Но дыряшечники будут "лепить галимые отмазы":

- зачем это если есть ffmpeg
(ахаха, а типа ffmpeg не такое же омнище с Integer Overflow CVE-2024-35366, Double Free CVE-2024-35368 и Out-of-bounds Read CVE-2024-35367)

- это специально так написали, потому что им так заказали
(ребята, у вас все сишные продукты дырявые, в таком случае всех уже купили и вообще никому доверять нельзя)

- это не настоящий сишник, вот настоящий бы никогда!
(а настоящих не существует, хехе)

Ответить | Правка | Наверх | Cообщить модератору

52. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (35), 20-Дек-24, 17:10 
> зачем это если есть ffmpeg

Причём, этот ффмпег точно также можно было бы и на расте написать. Всё с теми же ассемблерными вставками, которые раст поддерживает.

Ответить | Правка | Наверх | Cообщить модератору

101. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (101), 20-Дек-24, 20:37 
> в данном конкретном случае все 100% - это проблемы с памятью.

Это смещённость выборки. Там coverage driven fuzzing использовался, но к нему необходим какой-то алгоритмический способ выявления косяков, и я подозреваю, что автор использовал что-то типа valgrind'а, который детектировал именно ошибки работы с памятью, не замечая никаких других. То есть, в этом списке не могли возникнуть ошибки не сводящиеся к неправильной работе с памятью. Невозможно по этому исследованию судить о том, сколько там ошибок другого типа.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

109. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (109), 20-Дек-24, 21:26 
> Это смещённость выборки.

На 100% уверены?
Тут есть пройтись по тегу GStreamer, то увидим забавный список новостей:

Две уязвимости - Use-After-Free и переполнение буфера (opennet.ru/opennews/art.shtml?num=60185)
Три уязвимости - целочисленное переполнение с потенциальным выполнением кода, переполнение буфера (opennet.ru/opennews/art.shtml?num=59852)
Две уязвимости - целочисленное переполнение с потенциальным выполнением кода (opennet.ru/opennews/art.shtml?num=59592)
Две уязвимости - переполнение буфера с потенциальным выполнением кода (opennet.ru/opennews/art.shtml?num=59410)
Одна уязвимость - переполнением буфера + выполнение кода, даже с примером эксплойта (opennet.ru/opennews/art.shtml?num=54465)

И это только первая страница поиска (15 новостей), дальше мне лень))

Как видим у GStreamer есть невероятно богатое и дырявое сишное прошлое.
Поэтому можно конечно попытаться объяснить происходящее "особенной" выборкой...

Ответить | Правка | Наверх | Cообщить модератору

112. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (112), 20-Дек-24, 22:49 
> Поэтому можно конечно попытаться объяснить происходящее "особенной" выборкой...

Есть разница между "объяснить происходящее" и "сделать из происходящего дальнейшие выводы". Если ты исходя из убеждения в дырявости gstreamer'а делаешь вывод, что эта выборка говорит о дырявости gstreamer'а, а потом делаешь дальнейший вывод о дырявости gsreamer'а... Знаешь, я когда учился на первом курсе, мой одногруппник летел с экзамена по матану дальше чем видел, совершив схожую ошибку. По-моему, он попытался предел sinx/x взять правилом Лопиталя, применение которого требует знания производной sin, а производная sin выводится с опорой на взятый предел sinx/x. Препод гаркнул "циклический вывод" и с пинка отправил дурака из аудитории на пересдачу.

В данном случае я лишь говорю о том, что из данного исследования в новости нельзя делать никаких выводов о том, каких багов в gstreamer'е больше, багов с памятью или каких-то других. Я не говорю о том, что таких выводов нельзя сделать опираясь на другие факты.

  

Ответить | Правка | Наверх | Cообщить модератору

103. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (102), 20-Дек-24, 20:44 
>Даже всякие Integer underflow потом стреляют из-за OOB.

Специально против такого и придуманы зависимые типы. Но опять же, сишникам некогда читать матан, они дырки плодят.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

58. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (16), 20-Дек-24, 17:20 
И сколько реалтных проблем причинили эти уязвимости нуль? И это при том что самые большие утечки происходят по причине неправильной обработки путей. При том что Раст тоже неправильно обрабатывает пути.  
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

133. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (133), 21-Дек-24, 21:06 
А вот и отмазка нумер 42 из 100500
Ответить | Правка | Наверх | Cообщить модератору

77. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:09 
Ну напиши такой же плеер по функционалу. Пока все что виду от местных любителей — комментарии.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

88. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (88), 20-Дек-24, 18:45 
> Ну напиши такой же плеер по функционал

Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer сами на Раст давно перекатываются:

https://gstreamer.freedesktop.org/releases/1.22/

"33% of GStreamer commits are now in Rust (bindings + plugins), and the Rust plugins module is also where most of the new plugins are added these days."

Ответить | Правка | Наверх | Cообщить модератору

93. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (-), 20-Дек-24, 18:54 
> Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer сами на Раст давно перекатываются:
> https://gstreamer.freedesktop.org/releases/1.22/

Ого, спасибо за уточнение.
Конечно bindings + plugins это только начало, но самый трудный - первый шаг.

> "33% of GStreamer commits are now in Rust (bindings + plugins), and the Rust plugins module is also where most of the new plugins are added these days."

Жду с нетерпением анонса переделывания основного проекта.
Тогда точно в комментах будут полыхающие седалища.

Ответить | Правка | Наверх | Cообщить модератору

117. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от Аноним (12), 21-Дек-24, 03:36 
> Жду с нетерпением анонса переделывания основного проекта.

геморой насидишь, 5 звёзд за несколько лет на гихабе намекают тебе об охеренной нужности расто-плугинов

https://github.com/GStreamer/gst-plugins-rs

Ответить | Правка | Наверх | Cообщить модератору

119. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (119), 21-Дек-24, 04:26 
> звёзд за несколько лет на гихабе намекают

А "mirrored from https://gitlab.freedesktop.org/gstreamer/gst-plugins-rs.git&... тебе ни на что не намекает?

Ответить | Правка | Наверх | Cообщить модератору

129. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (12), 21-Дек-24, 09:40 
> А "mirrored from https://gitlab.freedesktop.org/gstreamer/gst-plugins-rs.git&... тебе ни на что не намекает?

да - это зеркало! Сравно с зеркалом linux

https://github.com/torvalds/linux

Ответить | Правка | Наверх | Cообщить модератору

94. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 18:57 
> Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer
> сами на Раст давно перекатываются:

Сделать биндинги и разрешить писать плагины - это не называется перекатываться.
Ползут в направлении в лучшем случае.
Но сам факт удивляет, это да.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

95. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:58 
>> Ну напиши такой же плеер по функционал
> Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer
> сами на Раст давно перекатываются:

А ну как обычно. Зачем писать что-то, если можно паразитировать и переписывать. Типикал.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

97. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (-), 20-Дек-24, 19:04 
Зачем перестраивать дом если можно жить в землянке?
Зачем делать нормальный санузел, если можно бегать на улицу?
Зачем делать нормально, если можно кушать уязвимый код и нахваливать?

Твой в-сер особенно смешной с учетом того, что "паразитировать и переписывать" начали сами разработчики GStreamerʼа.
На ком они паразитируют, гений?

Ответить | Правка | Наверх | Cообщить модератору

99. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +3 +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 20:06 
> Зачем перестраивать дом если можно жить в землянке?
> Зачем делать нормальный санузел, если можно бегать на улицу?
> Зачем делать нормально, если можно кушать уязвимый код и нахваливать?

Мастер сравнений просто. Ну если тебе будет удобнее так, то ты не сам дом построил, а пришел в уже готовый и начал хозяйничать без спроса.

> Твой в-сер особенно смешной с учетом того, что "паразитировать и переписывать" начали
> сами разработчики GStreamerʼа.
> На ком они паразитируют, гений?

И? А ты такой радостный что кто-то там начал что-то переписывать? Ведь за 15 лет нельзя было написать свой, а не ждать. Стыдно должно быть тебе. Позор!

Ответить | Правка | Наверх | Cообщить модератору

107. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –2 +/
Сообщение от Аноним (-), 20-Дек-24, 21:06 
> Ну если тебе будет удобнее так, то ты не сам дом построил, а пришел в уже готовый и начал хозяйничать без спроса.

Ого, а на доме кто написал д̶о̶м̶ ̶с̶в̶о̶б̶о̶д̶е̶н̶,̶ ̶ж̶и̶в̶и̶т̶е̶ ̶к̶т̶о̶ ̶х̶о̶т̶и̶т̶е̶ код под GPL форкайте / патчите кто хотите?
Или мне нужно спрашивать "а можно к вам отправить pull request"?
Если мой патч не подойдет создателям проекта - они его просто отклонят, это кажется должно быть понятно любому.
Но этот код приняли - значит всех все устраивает.

> И? А ты такой радостный что кто-то там начал что-то переписывать?

Конечно. Если больше проектов будут переходить на нормальные языки -> больше людей будут понимать что "не дырявыми одними" -> будет больше запросов на программы на нормальных языках -> у меня будет больший выбор проектов для работы.
Для меня одни плюсы.

> Ведь за 15 лет нельзя было написать свой, а не ждать. Стыдно должно быть тебе. Позор!

Воооообще не стыдно)
Написать свой, но зачем? У меня то все нормально работает.
А стыдно это - брак гнать, годами причем.

Ответить | Правка | Наверх | Cообщить модератору

135. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 22-Дек-24, 00:13 
>> Ведь за 15 лет нельзя было написать свой, а не ждать. Стыдно должно быть тебе. Позор!
> Воооообще не стыдно)
> Написать свой, но зачем? У меня то все нормально работает.
> А стыдно это - брак гнать, годами причем.

Нормально у тебя работает явно не плеер на расте, которого нет. Значит ты 15 лет пользуешься чем-то "бракованным" (как ты сам заявляешь) и вот сейчас тебя вдруг порвало об это заявить? Может за эти 15 лет ты завел где-то баги?

Ответить | Правка | Наверх | Cообщить модератору

136. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 22-Дек-24, 00:49 
>> И? А ты такой радостный что кто-то там начал что-то переписывать?
> Конечно. Если больше проектов будут переходить на нормальные языки -> больше людей
> будут понимать что "не дырявыми одними" -> будет больше запросов на
> программы на нормальных языках -> у меня будет больший выбор проектов
> для работы.
> у меня будет больший выбор проектов
> больший?

А какой сейчас? Ноль?

Ответить | Правка | К родителю #107 | Наверх | Cообщить модератору

116. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (12), 21-Дек-24, 03:30 
> 33% of GStreamer commits are now in Rust

это два года назад было, сейчас уже 101%. Там самый буйный переписыватель, я с ним как-то пересекался в одном опенсорсном проекте, он предлагал мне мой патч выпилить чтобы его патч заработал. Причём его патч абсолютно левый - какие-то никому ненужные нестандартные форматы добавлял. Мой патч исправлял баг вендорского ядра - там не принимают сторонние патчи, поэтому пришлось локальный костыль делать, собственно весь плагин был под это ядро написан. Ну т.е. понятно да - хер на вас, не важно что перестанет работать, главное чтобы у него заработало :) видимо на заказах сидит и надо стало.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

86. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (88), 20-Дек-24, 18:39 
> люди постоянно удивляются - "ну зачем они опять переписывают на раст то, что уже и так написано? Только и могут, что переписывать!"

Удивляютя сугубо опеннетные комментаторы - те, которые к разработке ПО никакого отношения не имеют.

Причем на поверку как правило оказывается, что чем меньше персонаж шарит в C, тем сильнее он воюет против Раста.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

105. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 20:55 
Может это синдром утенка?
Это как футбольные и прочие фанаты - готовы бить физиономии тем кто обозвал их любимую команду кривоногими инвалидами.
Думаю тут такое же - с детства им вбивали в голову что есть один идеальный ЯП созданный гениальным коммитетом и вообще самый лучший.
А тут приходят какие-то сопляки и говорят "да у вас тут дыреней как в шапке почтальона Печкина!".
Естественно это вызывает баттхерт и гневные вопли.
А потом когда начинаешь задавать вопрос по сonformance они чего-то сливаются.
Ответить | Правка | Наверх | Cообщить модератору

131. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (12), 21-Дек-24, 10:28 
> Хельсинг вон все бортовые системы управления боевыми дронами пишет на расте.

это он вам сам сказал ? так вы тоже говорите - проверить всё равно невозможно

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

46. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (46), 20-Дек-24, 16:56 
GStreamer - это предшественник PipeWire. Написать адаптер, выкинуть оригинал, и забыть.
Ответить | Правка | Наверх | Cообщить модератору

50. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +2 +/
Сообщение от Аноним (-), 20-Дек-24, 17:02 
Нельзя.
Начнется воняние "на моем ядре 2.3 оно не запустится! как вы посмели что-то выкидывать" и тд
То что мы видим в каждой первой теме про выпиливания некрокода.
Ответить | Правка | Наверх | Cообщить модератору

81. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (81), 20-Дек-24, 18:29 
Какая проблема сделать другу версию, а не выкидывать все подряд что и так работает.
Ответить | Правка | Наверх | Cообщить модератору

108. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 21:10 
Угу, а теперь поддерживать 2 куска кода.
Проводить тестирование, отслеживать регрессии.
Это же так просто, когда этим занимается кто-то другой!
Ответить | Правка | Наверх | Cообщить модератору

126. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (126), 21-Дек-24, 07:55 
Ну бэкпортировать на старые ядра. Линус же юзерспейс не ломает, должно быть сравнительно легко.
Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

113. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Анонем (?), 21-Дек-24, 00:29 
> GStreamer - это предшественник PipeWire.

Вроде не совсем так. У них разные задачи. Условно говоря, GStreamer это обработка и декодирование потоков. А Pipewire – диспетчеризация. Наверное, теоретически, можно реализовать кодеки и всякие эффекты внутри Pipewire, но зачем?

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

127. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (126), 21-Дек-24, 07:56 
В общем сильно опоздавший клон Windows Media Foundation.
Ответить | Правка | Наверх | Cообщить модератору

76. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:07 
Запускаю плееры в изоляции уже давно и вам советую.
Ответить | Правка | Наверх | Cообщить модератору

143. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  –1 +/
Сообщение от InuYasha (??), 22-Дек-24, 21:08 
Изоляция синяя, всё по ко канонам? Или новомодной термоусадкой? :-/
Ответить | Правка | Наверх | Cообщить модератору

83. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (83), 20-Дек-24, 18:32 
>systemctl

А без systemd? Или это только с системгой и гомом? То бишь, сферически и в вакууме?

Ответить | Правка | Наверх | Cообщить модератору

87. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Аноним (87), 20-Дек-24, 18:43 
Гном-сервис который автоматически находит и запускает экспоиты это уже или ещё не совсем год линукса на дескпопе?
Ответить | Правка | Наверх | Cообщить модератору

110. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Анонимусс (-), 20-Дек-24, 21:35 
Ого, а новость обновилась.

> Помимо 29 уязвимостей, выявленных исследователями из GitHub Security
> Lab, в версии 1.24.10 заявлено об исправлении ещё 11 уязвимостей.

Прям какое-то сишное бинго сегодня!
Они бы еще написали сколько лет каждая из дыреней жила в этом прекрасном коде,
написсаном луДшими погромистами современности!

Может еще не вечер, и что-то еще найдут?))

Ответить | Правка | Наверх | Cообщить модератору

111. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 20-Дек-24, 21:40 
>  Помимо 29 уязвимостей, выявленных исследователями из GitHub Security Lab, в версии 1.24.10 заявлено об исправлении ещё 11 уязвимостей.

Да что ж такое!
Надо срочно запретить статические анализаторы, а то они показывают дидов в нехорошем виде.
И вгоняют фанатиков небезопасных языков в депрессию)

Ответить | Правка | Наверх | Cообщить модератору

114. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 21-Дек-24, 00:57 
> Надо срочно запретить статические анализаторы

Это не статические анализаторы, а coverage driven fuzzing. Идея в том, что фаззер подаёт на вход программе всякие данные, наблюдает за всеми условными переходами, и подбирает такие последовательности на входе, чтобы пронаблюдать как каждый из условных переходов сработает и как он не сработает. Я не знаю, как они там детектируют баги при этом, но предполагаю, что помимо фаззера на выполнением программы наблюдает ещё и valgrind или что-нибудь в этом роде. Потом приходит человек, и разбирает выхлоп валгринда, и перерабатывает его в список багов.

Статический анализ тут ни при чём совершенно. Кроме того, я б сказал, что если код на безопасных языках обильно присыпать assert'ами, то такой фаззинг может и им помочь избавляться от "безопасных" багов, достаточно гонять фаззер и ждать, когда тот наступит на какой-нибудь assert.

Ответить | Правка | Наверх | Cообщить модератору

125. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +1 +/
Сообщение от Циноман (?), 21-Дек-24, 05:13 
Советующие rust, вы правда считаете, что ЯП, ПО на котором нельзя адекватно собрать оффлайн без добавки на несколько попядков большего числа исодников, прям безопаснее?
Довольно печальная ведь получается математика.
Ответить | Правка | Наверх | Cообщить модератору

128. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от ТожеРусский (ok), 21-Дек-24, 08:46 
Не понял, а если ты в сишной программе хочешь использовать уже ранее написанный код, то как ты это сделаешь без этого написанного кода? Без ... исходников? С уже собранной библой слинкуешься что ли? А чем это более безопасно, по сравнению со сбором исходников?
Ответить | Правка | Наверх | Cообщить модератору

130. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (130), 21-Дек-24, 10:00 
В сишных программах не учатся жрать с пола исходники, когда надо написать лефтпад, в сишных пргограммах либо он есть в базовой либе, либо пишется с руки.
Ответить | Правка | Наверх | Cообщить модератору

137. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от ТожеРусский (ok), 22-Дек-24, 08:44 
> в сишных пргограммах либо он есть в базовой либе, либо пишется с руки

В сишных программах вообще дохрена чего нет, в том числе в базовой либе. И язык скудный, и стандартная библиотека. Поэтому там либо постоянно изобретают велосипед, косой и кривой, либо используют скудные технические решения, типа размещения массива на стеке потому, что в языке нет родных нормальных коллекций типа array list, linked list, hashmap, и так далее, либо всё также линкуются со сторонними либами, которые предоставляют нужное.

Кстати, подход большой базовой либы оказался мертворожденным. Когда его придумывали ещё этого не понимали, к авторам претензий никаких нет, это было давно. А те, кто за толстую базовую либу топят сейчас просто не понимают, про что говорят. Ну просто люди не в теме развития программирования как науки.

Стандартная библиотека - это кладбище. По своему устройству, чисто логически. Потому, что она призвана быть надёжным основанием для программ, которые пишутся на языке. Это значит, что в ней нельзя или очень нежелательно ломать совместимость. Это значит, что если у присутсвующего там решения появляется существенно лучшая альтернатива, то старьё в этой библиотеке остаётся мёртвым грузом, потому что все переходят на стороннее решение. Со временем библиотека начинает представлять из себя кучу мёртвого API которое никто не использует, кроме старого кода, который никто не хочет переписывать под новый API. Такая судьба постигает все, абсолютно все стандартные библиотеки. Python, Java, Scala, C++, и так далее.

Поэтому в идеале стандартную библиотеку делают минимальной - только самое необходимое, что нужно везде и всегда.

Разумеется сишники, живущие в изоляции от внешнего мира последние 30 лет ничего этого не знают и не понимают. Только раст их разбудил из глубокого сна, они такие вылезли типа чё, чё это у вас тут, код какой-то переиспользуете, фичи языка какие-то не такие, как у нас было принято 30 лет назад.

Умойтесь, блин. Проснитесь уже.

Ответить | Правка | Наверх | Cообщить модератору

139. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (-), 22-Дек-24, 12:51 
> Поэтому в идеале стандартную библиотеку делают минимальной - только самое необходимое, что нужно везде и всегда.

Вот только "что нужно везде и всегда" очень разнится от сферы применения.
Для МК и прочей эмбедовки нужно миниально.
Для системщины - уже более.
А для прикладного, можно и целую кучу ункций и возможностей использовать.

Например, нужен ли класс/структура/объект String ?
А ведь в СИшке из коробки их нет до сих пор, а в плюсы добавили не в первую версию.
В итоге - парад велосипедов, постоянные проблемы и даже порожденные ими CVEшки.

Ответить | Правка | Наверх | Cообщить модератору

145. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (145), 23-Дек-24, 05:36 
> Вот только "что нужно везде и всегда" очень разнится от сферы применения. Для МК и прочей эмбедовки нужно миниально.

Да, в расте это решено через то, что стандартная библиотека - опциональна. При этом куча хороших, сторонних библиотек под раст умеют собираться в режиме «без стд», что позволяет переиспользовать кучу полезного кода даже там, где нет операционной системы.

При этом на уровне «без стд» всё равно есть какие-то типы, которые ваще самые самые базовые, фактически часть языка.

Ответить | Правка | Наверх | Cообщить модератору

146. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."  +/
Сообщение от Аноним (145), 23-Дек-24, 05:39 
> В итоге - парад велосипедов, постоянные проблемы и даже порожденные ими CVEшки.

Парад велосипедов был бы в любом случае, вопрос только в том, где - как опциональные либы на выбор или как часть базовой библиотеки.

Ответить | Правка | К родителю #139 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру