The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в FFmpeg, nginx, Dovecot, FreeType, LightDM и RealPlayer

24.11.2011 16:07

Несколько недавно обнаруженных уязвимостей:

  • В новых версиях мультимедиа пакета FFmpeg 0.7.7 и 0.8.6 устранено несколько уязвимостей, которые могут привести к выполнению кода злоумышленника из-за переполнения буфера в функциях обработки форматов QDM2, VP3, VP5, VP6 и AV. Напомним, что в октябре в FFmpeg были выявлены 32 уязвимости, а в ноябре - 37.
  • В http-сервере nginx 1.0.10 устранена уязвимость, вызванная возможностью выхода за границы буфера в функции "ngx_resolver_copy()" в процессе обработки ответов от DNS-сервера. Уязвимость проявляется только при активации в настройках директивы resolver, которая не используется по умолчанию. Атака на nginx, которая может привести к выполнению кода, возможна только если злоумышленник имеет доступ к DNS-серверу, на который ссылается директива resolver;
  • В imap/pop3 сервере Dovecot 2.0.16 исправлена уязвимость, которую можно использовать для спуфинга SSL-трафика в ситуации, когда злоумышленник имеет доступ к транзитному хосту (Man-in-the-Middle). Уязвимость проявляется только если в настройках включена проверка сертификатов. Причиной проблемы является некорректная проверка значения поля "Common Name" при сверке имени хоста сервера;
  • В библиотеке для рендеринга шрифтов FreeType 2.4.8 устранена уязвимость, которая может привести к выполнению кода злоумышленника при обработке функциями библиотеки специально оформленных шрифтов Type 1;
  • В дисплейном менеджере LightDM, используемом в Ubuntu 11.10, обнаружена уязвимость, позволяющая локальному пользователю повысить свои привилегии в системе. Проблема связана с тем, что файл с пользовательскими настройками "~/.dmrc" обрабатывается процессом с правами root, что может быть использовано для чтения произвольного файла в системе через установку на него символической ссылки (например, можно прочитать хэши паролей из /etc/shadow);
  • В медиа-плеере RealPlayer 15.0.0 устранено 19 уязвимостей, которые могут быть использованы для выполнения кода злоумышленника при проигрывании специально подготовленного контента.


  1. OpenNews: Уязвимости в Chrome, Stunnel, MPlayer, Gimp, FFmpeg, Tomcat, Xen, X.Org, OTRS и BusyBox
  2. OpenNews: Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Puppet, Quagga, Qt и Django
  3. OpenNews: Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid, FFmpeg, Wireshark, GnuTLS и OpenPAM/FreeBSD
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/32386-ffmpeg
Ключевые слова: ffmpeg, nginx, dovecot, freetype, lightdm, realplayer
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 18:44, 24/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чего-то дырок в FFmpeg много за последнее время обнаружилось. Не подскажет ли аудитория, как mplayer линковать динамически к ffmpeg?
     
     
  • 2.4, iZEN (ok), 19:23, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Для MPlayer FFmpeg не нужен.
     
     
  • 3.13, Аноним (-), 22:32, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Для MPlayer FFmpeg не нужeн.

    Только вот без ffmpeg'а он не будет играть почти ничего. И станет не нужeн уже сам mplayer. А зачем нужен плеер который ничего проигрывать не может?

     
     
  • 4.29, iZEN (ok), 19:28, 25/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    У меня Mplayer собран без FFmpeg и играет практически все форматы pkg_info -r... большой текст свёрнут, показать
     
     
  • 5.32, Аноним (-), 05:28, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А что вы с мплеером сделали чтобы у него _такой_ список зависимостей отмахал? Вот например, зачем вашему мплееру перл, питон и гткшные либы?
     
     
  • 6.36, iZEN (ok), 14:02, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А что вы с мплеером сделали чтобы у него _такой_ список зависимостей
    > отмахал? Вот например, зачем вашему мплееру перл, питон и гткшные либы?

    За это отвечает опция "WITH_X11=true" ("Enable X11 support for mplayer's video output").
    В условиях сборки Makefile для неё уготованы следующие опции сборки:
    USE_GNOME+= gtk20
    CONFIGURE_ARGS+= --enable-gui

    Perl и Python идут уже как зависимости Gtk2.


     
  • 2.7, Аноним (-), 19:43, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Оба не нужны, когда есть mplayer2 и libav, которые, кстати, линкуются динамически по умолчанию.
     
     
  • 3.10, Аноним (-), 22:28, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ffmpeg использует libav
     
  • 3.11, Аноним (-), 22:28, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Очень смешно, учитывая что libav и ffmpeg - по сути 2 названия одного и того же.
     
     
  • 4.21, Ищавин (?), 03:02, 25/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Различия уже достаточно существенны.
     
     
  • 5.22, Аноним (-), 04:25, 25/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Различия уже достаточно существенны.

    Во первых, нельзя ли примеры таких уж прямо фундаментальных отличий? Ну, что-нибудь самое крутое?

    Во вторых, вы уверены что у них такой уж разный код для кучки немолодых кодеков? Скорее всего львиная доля кода была написана когда это еще было ffmpeg.

     
     
  • 6.31, Ищавин (?), 00:40, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это легко проверить загрузив оба репозитория. Никто не говорит о наличии прям фундаментальных различий, лишь о том, что сейчас делать merge уже очень трудно. Чем-то напоминает историю OO и LibreOffice. И чем дальше, тем различия будут существенней.

    И вообще, я не совсем понимаю формулировки «фундаментальный» в контексте ПО. Это типа должно означать, что поменялись какие-то базовые алгоритмы? Типа рендеринг h264 переписали по новой, или что?

     
     
  • 7.33, Аноним (-), 05:38, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > фундаментальных различий, лишь о том, что сейчас делать merge уже очень трудно.

    В плане секурити фиксов это более-менее пофиг - их можно и просто спортировать влобовую. Не понятно мне тут скорее чем вызван совет использовать libav. А советчики хотя-бы проверяли как там дела с этими уязвимостями? Или есть какие-то еще внятные аргументы "за"? Мне действительно интересно, может вы мониторили отличия достаточно внимательно?

    > Чем-то напоминает историю OO и LibreOffice. И чем дальше, тем
    > различия будут существенней.

    Ну с этими то все понятно - оракл просрал полимеры, т.к. не умеет рулить открытыми сообществами и обозлили большую часть разработчиков. В результате проект перетек под новое имя по сути. С libav и ffmpeg все менее очевидно. Насколько там большинство перебежало в libav - не понятно. В результате живут себе 2 проекта. Фабрис помнится клялся что все существенные изменения из libav будут попадать в ffmpeg и когда я смотрел - вроде не врал.

    > И вообще, я не совсем понимаю формулировки «фундаментальный» в контексте ПО.
    > Это типа должно означать, что поменялись какие-то базовые алгоритмы? Типа рендеринг
    > h264 переписали по новой, или что?

    Например новый кодек засунули. Или хотя-бы существенные оптимизации сделали. Иначе не понятно чем шило лучше мыла.

     
     
  • 8.35, Ищавин (?), 07:39, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Я вообще пользуюсь везде ffmpeg, libav ставил посмотреть месяца 2 8211 3 назад ... текст свёрнут, показать
     
  • 2.8, Stax (ok), 20:17, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Опция configure --disable-ffmpeg_a вроде. Только с багрепортами потом к авторам не обращаться, это официально не поддерживается и крайне не рекомендуется; это до сих пор не убрали только потому, что без этой возможности сильно плакали дистростроители. Есть известные баги, появляющиеся при такой динамической сборке.
     
     
  • 3.25, Аноним (-), 12:45, 25/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Опция configure --disable-ffmpeg_a вроде. Только с багрепортами потом к авторам не обращаться,
    > это официально не поддерживается и крайне не рекомендуется; это до сих
    > пор не убрали только потому, что без этой возможности сильно плакали
    > дистростроители. Есть известные баги, появляющиеся при такой динамической сборке.

    Понятно. Ладно, можно и пережить.

     

  • 1.9, Аноним (-), 20:26, 24/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В дисплейном менеджере LightDM, используемом в Ubuntu 11.10, обнаружена уязвимость, позволяющая локальному пользователю повысить свои привилегии в системе. Проблема связана с тем, что файл с пользовательскими настройками "~/.dmrc" обрабатывается процессом с правами root, что может быть использовано для чтения произвольного файла в системе через установку на него символической ссылки (например, можно прочитать хэши паролей из /etc/shadow).

    И снова примитивнейшие ошибки, символические ссылки точно убьют *NIX. Их механизм до сих пор не меняется, да и X с правами root не починят никогда...

     
     
  • 2.12, Аноним (-), 22:30, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > И снова примитивнейшие ошибки, символические ссылки точно убьют *NIX.

    Тем временем в шиндошсе нашли MS11-083, посмешнее симлинков галимых: из сети - прямо в ядро! В макосятине тоже дыр навалом. Что предлагаете использовать? Unix V6, который только на виртуалочке запускается?

     
     
  • 3.15, Аноним (-), 22:34, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> И снова примитивнейшие ошибки, символические ссылки точно убьют *NIX.
    > Тем временем в шиндошсе нашли MS11-083, посмешнее симлинков галимых: из сети -
    > прямо в ядро! В макосятине тоже дыр навалом. Что предлагаете использовать?
    > Unix V6, который только на виртуалочке запускается?

    Уже было недавно предложение разработчиков Фидоры сделать из неё UnixV6, начав с сливания всех бинарей в одну папку.

     
     
  • 4.17, Аноним (-), 22:39, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Уже было недавно предложение разработчиков Фидоры сделать из неё UnixV6, начав с
    > сливания всех бинарей в одну папку.

    Ага, ведь раскидывать бинарники по куче каталогов - это так виндово.

     
  • 2.14, Аноним (-), 22:32, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И снова путают символические ссылки, X и LightDM! Ваша путаница до сих пор не меняется. Надо починить анализатор русского языка, и всё будет в порядке!
     
  • 2.16, Аноним (-), 22:37, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > И снова примитивнейшие ошибки, символические ссылки точно убьют *NIX.

    Собственно, эта классическая юниксовая дыра закрывается довольно просто (http://www.opennet.ru/opennews/art.shtml?num=27488). Главное, чтобы за техническую реализацию взялись не ребята из Каноникал, а кто-нибудь с более прямыми руками - тогда, глядишь, и в ядро пройдет.

     
  • 2.19, terr0rist (ok), 23:23, 24/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Если кто и убъёт *NIX, то тупые пользователи (в их числе админы и программисты). Отсутствие мозгов не компенсируешь "изменением механизма". Не умеешь пользоваться компьютером - сиди за печатной машинкой.
    А для параноиков уже и так давно существует ACL и проч.
     
     
  • 3.23, Аноним (-), 05:00, 25/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А для параноиков уже и так давно существует ACL и проч.

    Для труЪ-параноиков скорее нужны полновесные виртуализаторы типа xen/kvm. Так что прошибание ядра у гуеста не ставит под удар хост, который вообще по сетке не обязан быть доступен. Что заметно усложняет атаку. А хост может тем не менее втихарика мониторить виртуалочки.

     
     
  • 4.24, Аноним (-), 09:09, 25/11/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У Ъ-параноиков как раз печатные машинки и дома без окон.
     
     
  • 5.27, Аноним (-), 13:42, 25/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    и стены мягкие, да?
     
  • 4.26, Аноним (-), 12:48, 25/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> А для параноиков уже и так давно существует ACL и проч.
    > Для труЪ-параноиков скорее нужны полновесные виртуализаторы типа xen/kvm. Так что прошибание
    > ядра у гуеста не ставит под удар хост, который вообще по
    > сетке не обязан быть доступен. Что заметно усложняет атаку. А хост
    > может тем не менее втихарика мониторить виртуалочки.

    Ъ^2 используют SELinux/grsec/AppArmor + xen/kvm. Вот это Ъ.

     
     
  • 5.28, Аноним (-), 18:27, 25/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    AppArmor во многих случаях легко обойти. А вот GRSecurity - действительно, непробиваемая защита: ядро падает в панику по поводу и без, враг точно не пройдет.
     
     
  • 6.30, Аноним (-), 00:04, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > AppArmor во многих случаях легко обойти. А вот GRSecurity - действительно, непробиваемая
    > защита: ядро падает в панику по поводу и без, враг точно
    > не пройдет.

    Чем-то приходится всегда жертвовать.

     
  • 5.34, Аноним (-), 05:47, 26/11/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Ъ^2 используют SELinux/grsec/AppArmor + xen/kvm. Вот это Ъ.

    Из первых трех какой-то реальный смысл имеет разве что grsec. Остальные двое предоставят возможность побегать с лыжными палками. В ластах. По асфальту.

    Любой уважающий себя сплойт их сносит первым делом. Если уж хочется позащищаться от взломщика ядром системы которую он пытается распетрушить, кардинальнее и проще можно делать в стиле гуглохромиума, т.е. clone() в отдельный временный контейнер LXC, где вообще пусто. Там по определению гадить нельзя и ломать нечего: загон пустой. То же самое по смыслу, только без двух часов бега в ластах с лыжными палками по асфальту.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру