LINUX.ORG.RU

Уязвимостm переполнения буфера в MPlayer.


0

0

В MPlayer обнаружена ошибка переполнения буфера. Переполнение возможно при проигрывание ASX с неверными заголовками, и может привести к выполнению произвольного кода. Уязвимости подвержены следующие версии:MPlayer 0.90pre series, MPlayer 0.90rc series, MPlayer 0.90, MPlayer 0.91, MPlayer 1.0pre1. И уже для всех этих версий доступен патч (http://mp.dev.hu/MPlayer/patches/vuln...).

>>> Подробности

anonymous

Проверено: svyatogor

Re: Уязвимостm переполнения буфера в MPlayer.

> 5. Поподробней насчет "прозрачной сетевой графической среды". > По какому протоколу я могу запустить файл на удаленной машине > и насколько это просто? Если все через mount, то не сказал бы, > что это прозрачно

Что значит "запустить файл на удаленной машине"? Вы сами то поняли, что сказали? Запустить процесс (программу) на удаленном хосте? Или открыть файл с удаленного хоста?

> Насчет lnk файлов. Подключаю //winserver/links получаю > кучу файлов с расширением lnk. Как мне ими воспользоваться? > И как сделать ln -s на сетевой ресурс?

Ага... Вы еще предложите его (Linux) научить понимать буковки диска из этих ублюдочных микрософтовских вариантов симлинка (типа чтобы Linux понимал C:\Program Files\PupkinSoft\PupkinWord.exe). И вообще - нефиг использовать какое-то монтирование - это слишком сложно - давайте сделаем в линуксе вместо корневой ФС буквы диска! А чтобы еще проще жить, ввести новую разновидность протокола в URL, и назовем ее "дакумент" - типа зачем писать smb://xxx, http://xxx, ftp://xxx, будем просто писать "dacument://xxx"... И вообще, быстро всем использовать Windows - там lnk-файлы понимаются и буковки диска есть... И file://xxx указывает хз куда вместо файла.

> Так все бы хорошо, но виндовское file:// равно линуксовому > smb:// Уж лучше бы оставили имя file:// за самбой, а для > локальных ресурсов сделали бы какой-нибудь local://

А не пойти ли Вам... Ладно, я вам попробую еще раз обяснить, что "file:" это именно ФАЙЛ. ЛОКАЛЬНЫЙ. А если это удаленный объект, будьте добры специфицировать метод доступа. Потому, что у меня, например, на системе может стоять поддержка множества протоколов доступа к удаленным хостам. Что значит в вашей семантике запись file://host/dir/file.txt? Хорошо, пусть файл "file.txt" на хосте "host" в корне ресурса "dir". Теперь вопрос на засыпку: а к хосту как доступ получать? По NFS? По SMB? По NCP? А может там AFS? Или Coda? Так что давайте оставим в покое "file://" и будем именовать каждый ресурс как положено, без умолчаний. Вы, пардон, кроме морковки (windows) ничего не видели и, наверное, даже не представляли себе, что есть не только "совместное использование дисков" в Windows, но и другие сетевые средства...

> Насчет automount. Один вариант я знаю по cron выполнять > обновление списка серверов и шар с Master Browser'а или > по результатам пинга, а на каждый каталог сервера вешать > automount. Вот только от 300 процессов боюсь системе плохо > станет, а по другому пока не придумал... да и не уверен, > что ls /smb/host что-то полезное выдавать будет

Не станет системе плохо. Это нормальная система, а не такой родной и привычный для вас "Майкрософт Тамагочи 98". Примонтирутйе и расслабьтесь. Нормально оно будет работать. Кстати о птичках, если у вас каждый пользователь имеет право зашарить все что захочет, значит что-то у вас пошло не так, на досуге можете подумать почему :-)

P.S.: сдается мне, что вы относитесь к той групее считающих себя умными и талантливыми людей, которые способны поместить на интранетовский сервер ссылку на файл размером 10КБайт типа href="I:\Documenty\Balans.doc" даже зная, что каждый пятый ваш коллега работает на Unix'овой рабочей станции, и послать объявление "18 октября состоится совещание по обсуждению итогов тестовой эксплуатации Продукта. Всем заинтересованным в 10:00 прийти в кабинет 67" в приаттаченом вордовском файле размером 240 КБайт, когда 9 из 10 ваших реципиентов сидят на диалапе в 28КБит.

Н-да, нам - дуракам, которые которые экономят чужое время, чужой траффик и стараются сделать все по стандарту и для удобства всех пользователей - не суждено понять глубокие мотивы действий "специалистов" вашей категории, которые "ваяют сайты для большинства аудитории, т.е. под интирнет иксплорир" и высказывают свои суждения не обдумав их.

Спокойно-отстраненно,

no-dashi ★★★★★ ()

Re: Уязвимостm переполнения буфера в MPlayer.

2no-dashi:

файл с твоим объявлением весит 20кб - только что попробовал. Так что не заливай :)

anonymous ()

Re: Уязвимостm переполнения буфера в MPlayer.

"Запустить файл" подразумевает, например, запуск типа \\server\share\talk.exe. То есть та часть функциональности, которая в Линукс решается через явный mount, а во всяких mc/KDE/... выдает ошибку "нельзя запускать файл на не-локальной файловой системе".
Аналогично про файловый системы типа zip, tar.gz, ... В винодвс Compressed folders полнстью прозрачны, а в Linux приходится все сначала разархивировать полностью, а уже потом работать с этими файлами.

Начсет lnk: буквы диска используются для локальных файлов, а значит для UNIXовых пользователей ценности не представляют, а вот lnk: \\host\share\myfile хотелось бы иметь возможность увидеть преобразованным в smb://host/share/myfile. А так приходится вместо нормальных ярлыков виндовым пользователям делать текстовые файлы со списком ресурсов и использовать их через Copy/Paste.

Да и c file://:

cd /usr работает
cd file://usr выдает ошибку, так нафига в броузерах огород городить? А имя file уже используется (пусть и в другой ОС), так как мне поисковик по локальной сетке нормально делать

if(OS == Linux)
return "smb://host/share"
else
return "file://host/share"

Так, что-ли? А в Lynx, наверно, все равно работать не будет, так как smb:// только на уровне KDE/GNOME существует... :-((

От 300 sendamil'ов плохо становится. Проверено (какой-то товарищ ftp-by-email использовал, чтобы что-то большое скачать, а оно на куски порезалось и параллельно отправилось).

А пользователи у нас независимые: локальная сеть без выделенных серверов, где каждый может что хочет расшарить, что хочет зашарить, включить/выключить компьютер, и т.д.

monk ★★★★★ ()
Ответ на: Re: Уязвимостm переполнения буфера в MPlayer. от no-dashi

Re: Re: Уязвимостm переполнения буфера в MPlayer.

А какие там патчи на iptables? Меня "ядерный" iptables устраивает :-) Впрочем, если тебе нужны какие-то targets в iptables, то их тоже можно собрать модулями :-) А что такое поддержка "CD-RW" я вообще не знаю - я знаю, что такое IDE-SCSI, а также modprobe ide-scsi и append="hdd=ide-cd hdc=ide-scsi" :-)

А ты поставь патчи и посмотри. :) string time iplimit Не поленись поставить. ;) CD-RW надо же какой ты умный, а мы мастдайщики и не знали что при записе IDE уходит в эммуляцию скази...оказывается вот почему сказюшные CD-RW пропали. :) Не делай умного из себя самого-это ваша проблема никсоидов-умными себя строите, а мастдайщики ламаки полные. :)

За какими байтиками? Дравер PS/2 мышь у меня статчески вкомпилирован в ядро, драйвер USB-мыши (потенциально возможной) собран модулем. Я умный (заодно пьяный - отмечали день рождения, два литра водки на троих, не считая непьюсчих - достаточно весело :-)) и расчетливый :-)

Дрова мышки-это дрова мышки, а там где то я ще видел поддержку в консоли ее. ;) А если ты в графике сидишь, то чтож...согласись в ней приятней чем в тексте. :) А то тут все поголовно Хы хают, что он им не нужен. ;) Я умный-показатель тупости. ;) Умный не называет себя умным. :) Ты уверен в этом? :) У меня попугайчик дома говорит, что он хороший и красавчик. Ты точно такой же. ;)

Кака нах на спарке консоль? Да и дома - в .bash_history последняя команда всегда startx :-)

Ну вот на Спарке...так это видимо соляра у тебя стоит, а не Линукс. :)

P.S.: а у нас в городе МАСКИ-ШОУ с управлением "Р" началось. Мусора и иже с ними ходят по гамеклабам и собирают лицензии на форточки и клубные серверы - вот народ загонощился то, даже не поверите насколько... Так что ищите ВСЕ лицензи на ВЕСЬ софт, господа уиндузаятники...

Все дружно будем из-за этого ставить себе Линукс и не будем в игры играть ворованые. :)) Думай что говоришь "Я умный" Сиди и в своего bill играй. ;)) Он то хоть от гну...

anonymous ()

Re: Уязвимостm переполнения буфера в MPlayer.

Ой. Есть Linux под SPARC...тоже глупость сморозил-не самый умный. :)

anonymous ()

Re: Уязвимостm переполнения буфера в MPlayer.

> Циска мастдай

А почему нет ? :-)

AS ★★★★★ ()

Re: Уязвимостm переполнения буфера в MPlayer.

>> то в Линукс е через kill -9 всегда можно отстрелить подвисшую задачу > А если у нее 1000 потомков ? Замучаешься по клаке стучать :)

У-у-у... Как все запущено... Ты серьезно ?

AS ★★★★★ ()

Re: Уязвимостm переполнения буфера в MPlayer.

> От 300 sendamil'ов плохо становится. Проверено

Это, скорее, где-то в консерватории... Что за компьютер и что за ядро ? В период эпидемий до 800-900 штук на 2 x PII-450 (при работающем DrWeb) доходит. Не сказал бы, что серверу в эти моменты легко, но так, чтобы совсем плохо было - нет. В конце концов sendmail и засуспендиться может при указанном load average

AS ★★★★★ ()

Re: Re: Уязвимостm переполнения буфера в MPlayer.

2monk (*) (2003-09-28 12:57:09.768667)
>А пользователи у нас независимые: локальная сеть без выделенных серверов, где каждый может что хочет расшарить, что хочет зашарить, включить/выключить компьютер, и т.д.

Ууууу, как все запущено, и в этом бардаке Вы хотите навести порядок с помощью смены операционной системы? Это делается административными средствами и называется "планирование работы в локальной сети" когда будет больще 2-х десятков WS, этот бардак превратится в hell :-)

anonymous ()

Re: Уязвимостm переполнения буфера в MPlayer.

2AS: ядро тогда было 2.2. Компьютер PII-450. Я не имел в виду, что почта перестает доходить, но вот когда иксы начинают безбожно тормозить (реакция на любое действие происходит через 5-7 секунд), то это весьма неприятно. Плюс при попытке залогинится в консоли пришлось ждать надписи "password:" минуты две. Если после 300 automount'ов будет такое же безобразие, то это совсем не радует.

2anonymous (*) (2003-09-28 18:28:48.058346): А что можно сделать в домашней/студенческой сети? Никто не обязан ничего расшаривать, но расшаривают у кого что есть (фильмы/дистрибутивы/музыка) + есть поисковик, который делает поиск по сетке (MySQL + Perl). В винде все достаточно комфортно, а в Linux'е неудобства два:

1. невозможность нажимать на ссылку

2. невозможность удобно лазить по сетке. Интерфейс Linneighbourghood мне нравится гораздо меньше, чем KDE/Nautilus или даже mc или shell.

Ну и периодически встречаются каталоги ссылок на ресурсы (обычно фильмы так каталогизируют, чтобы легче искать было), так в Linux эти lnk-файлы можно только текстом смотреть.

Еще раз повторюсь: речь идет во всех моих постах про Linux как рабочую станцию. То есть должно все работать и оставаться достаточно ресурсов, чтобы работали иксы + например OpenOffice. А также не должно требоваться на каждую рутинную операцию вызов админа.

monk ★★★★★ ()

Re: Уязвимостm переполнения буфера в MPlayer.

> 2AS: ядро тогда было 2.2.

А как ядро собрано было ? У дефолтного c kernel.org максимум 512 процессов запускаться может. Это следует помнить и проверять, что там в дистрибутиве.

> Компьютер PII-450. Я не имел в виду, что почта перестает
> доходить, но вот когда иксы начинают безбожно тормозить

Какие X-ы ?! Дальше я прочитал, но если речь о 300 сендмайлах, то это уже на отдельный сервер тянет хотябы с точки зрения идеологии - нехрен лишний раз на компьютере с нужными сервисами что-то делать.

AS ★★★★★ ()

Re: Уязвимостm переполнения буфера в MPlayer.

2AS: дефолтное от SuSE. Количество процессов не кончалось, проблема была с самим распределением времени: квант времени мышь получала раз в 3-4 секунды, соответственно что-либо делать в иксах было невозможно. sendmail работал в основном для того, чтобы у меня была возможность отправлять письма непосредственно получателю, а не через mail.ru + возможность получать письма мне и еще паре пользователей. Вот один из них мне такую бяку и подложил. А так комп был исключительно десктопный. То есть нужным сервисом были иксы и mpg123, а не sendmail (благо, почта в течение 4 часов нормально доходит, а потерь вроде по идеологии sendmail'а быть не должно, он с самого рождения такой). Вот соответственно и интересно можно ли сделать так, чтобы cd /smb/host/share было эквивалентно виндовскому \\host\share при том, что в локалке около 300 компов и они могут включать/выключаться в любой момент, то есть в fstab прописать не получается.

Кстати еще вопрос: есть под Линукс talk, такой чтобы поддерживал перекодировку win-koi, а то с wtalk и с линуксовыми пользователями хочется нормально общаться (+возможность ведения лога была бы очень кстати).

monk ★★★★★ ()

Re: Уязвимостm переполнения буфера в MPlayer.

2monk:<<в скольких местах надо настраивать новую графическую карту? 1. в ядре 2. в иксах + возможно 3. в svgalib.>>

1) Только если нужно аппаратное ускорение (например для игрушек). В офисе не нужно 2) Тут может понадобиться, но (как говорится) не бином Ньютона 3) А ее где-то, кто-то еще использует?

<<Опять же при смене мышки: прописываем как минимум 1. в ядре 2. в иксах 3. в gpm>>

Это только если переходите на другой тип мыши 1) если до этого в ядре была убрана такая мышь (именно убрана, а не "не добавлена") 2) при переходе на другой тип мыши (надо сменить протокол и/или добавить работу с дополнительными кнопками). 3) За все время работы с Linuxом (с 1997 года по сей день) ни разу не приходилось. (хотя, наверное, можно при желании)

<<Если что-нибудь забыть, то работать не будет.>> См. выше

<< Можно, разумеется в ядре прописать сразу все, как делает RH, но нафига тогда вообще модульная структура ему?>> А на то, что модули грузятся не все, а лишь необходимые.

2anonymous (*) (2003-09-27 09:23:12.075621):<<но если запустить трояна, то будет 98...а вот рухнит или нет-от ядра зависит. :))>> А если еще и напильником HD пошкрябать, то совсем работать не будет.

kraw ★★★★ ()

Re: Уязвимостm переполнения буфера в MPlayer.

"Запустить файл" - сразу вспоминается старый анекдот про "запустить сельское хозяйство" и "у нас сажают не только картошку" :))

2monk:<<Я не имел в виду, что почта перестает доходить, но вот когда иксы начинают безбожно тормозить (реакция на любое действие происходит через 5-7 секунд), то это весьма неприятно.>> Для чего на сервере X?

<<А что можно сделать в домашней/студенческой сети?>> html и ftp. Как раз для таких случаев и сделано.

<<Еще раз повторюсь: речь идет во всех моих постах про Linux как рабочую станцию.>> Для чего на рабочей станции sendmail?

<<То есть нужным сервисом были иксы и mpg123, а не sendmail>> Даже при таком бреде man nice и man renice.

kraw ★★★★ ()

Re: Уязвимостm переполнения буфера в MPlayer.

monk Есть по моему что-то типа smb broser. Ничего себе так сканит сетку и ресурсы легко монтирует. попробуй, может полегче станет :-)

Pavel_and ()

Re: Re: Уязвимостm переполнения буфера в MPlayer.

monk> ... Последние 3 не поддерживают ничего кроме чтения/записи. А вообще говоря есть еще и выполнение. А хотелось бы по сети командой cd ходить (да и по ftp и по архивам тоже)...

http://lufs.sf.net/

Lucky ★★ ()

Re: Уязвимостm переполнения буфера в MPlayer.

ну да ладно

как кластер делаем под виндой ? расскажите сколько стоит - в ларьке Я не покупаю - лицензионность мне нужна.

Потом как в винде сделать бездисковую станцию чтоб не тратиться на покупку кучи винтов и более-менее мощных машин там где оно не надо. Как Я смогу контролировать все ресурсы в виндах - на всех машинах? Как можно делать централизированный бэкап всего дискового пространства? Как Я в винде могу зашарить проц ? а? товарищи виндузятники ?

ну а про возможность выбора ? у вас в винде ее нету на самом то деле - у вас есть один просмотрщик граф файлов у нас полно и тд и тп

Винда есть убогое решение не сдвинутое с места в течении лет так 6 - Я уж не говорю что не надо ставить на винде сервера особенно касаеться те что смотрят в мир- ибо дыр там полно

просто в линухе их находят постоянно и исправляют благо без дырок нет софта а в винде их полно приходит патч закрывает пару дырок 100 остаеться и еще 100 добавляеться - это круто

Вообщем дети как раз те кто сидит на винде в сети 10 компов - это конечно круто - а промышленные задачи кстати на винду никто и не ставит из нормальных и здравомыслящих людей - Я лучше пиво попью чем винду буду постоянно переставлять

anonymous ()
Ответ на: RTFM от Dselect

Re: RTFM

man screen

Сам читай, извращениц. ;)

anonymous ()

Re: Re: Re: Re: Уязвимостm переполнения буфера в MPlayer.

А собственно что может предоставить не юникс платформа ? Отсталость такая как МС это круто - а что в из решениях проглядывает ? да ничего - что они новго сделали? что они такого полезного сделали? что нить для продвижения? ответ нет.

кстати интерестная статья есть- точнее мнение один крендель писал - http://crew.org.ru/cgi-bin/forum/YaBB.pl?board=Philosophy;action=display;num=...

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.