Рекомендации по обновлению безопасности за май 2020 г. (CVE-2020-12630, CVE-2020-12631)
Сведения об уязвимости
ИДЕНТИФИКАТОР CVE: CVE-2020-12630, CVE-2020-12631
Тип Отказ в обслуживании
Дата обнаружения: 03.10.2022 - 2020年01月31日 $
Обнаружено: Джек Бейкер
Дата выпуска исправления: 30.01.2023 - 2020年05月19日 $
Затронутая операционная система: Все поддерживаемые платформы
Затронутые версии: Все
Строгость: Высокий
Исправленные версии:
- [1] 2019年3月14日f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018年4月23日f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017440f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 202020a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 202010b9
https://unity3d.com/unity/beta/2020.1.0b9
В функции Unity Multiplayer and NetworkingUNETбыли выявлены две проблемы с нехваткой памяти, затрагивающие игры и приложения, созданные с помощью редактора Unity с использованием UNET. Эти проблемы могут привести к отказу в обслуживании (DoS), что позволит злоумышленнику привести к сбою процесса Unity и, возможно, игры или приложения.
Действия по устранению
Определите версию вашего редактора Unity
Откройте проект Unity.
Версия Unity отображается в заголовке главного окна.
Установить обновление
Если ваша версия редактора Unity не входит в число версий исправлений в разделе «Сведения об уязвимости» выше, вы можете продолжить установку обновления следующим образом.
Чтобы установить обновление, вы можете использовать средство проверки обновлений Unity Editor, доступное в меню «Файл» «Справка» -> «Проверить наличие обновлений».
Дополнительно вы можете скачать и установить соответствующий патч для вашей версии редактора Unity. Ссылки для скачивания доступны вразделе «Версии исправлений»раздела«Сведения об уязвимости»и в разделе«Ссылки».
Сборка и развертывание
После обновления редактора Unity вы можете перейти к созданию новой сборки игры или приложения и развернуть новую исправленную версию.
FAQ
Были выявлены две проблемы с выходом за пределы памяти, которые могут привести к отказу в обслуживании (DoS), что позволит злоумышленнику привести к сбою процесса Unity и, возможно, игры или приложения.
Да. Затрагиваются игры и приложения, созданные с помощью редактора Unity с использованием функции Unity Multiplayer и Networking UNET .
Выявленным уязвимостям подвержен только Unity UNET .
Это зависит от конкретной версии редактора Unity, которую вы используете. Большинство клиентов смогут обновиться до исправленных версий без необходимости пересборки своих пакетов, но некоторые клиенты могут обнаружить, что импортеры активов были обновлены между версией, которую они используют в настоящее время, и патчем для этого точечного выпуска. Для этих клиентов может потребоваться восстановление пакета активов.
Это касается всех поддерживаемых платформ.
Затронуты все версии платформы.
Это касается всех версий редактора Unity.
Мы выпустили патч для всех официально поддерживаемых версий редактора Unity вплоть до 2020.2 Alpha. Все последующие версии также включают исправление.
Unity выпустит по одному патчу для каждой из самых последних версий, то есть последнего обновления редактора Unity.
Сейчас мы сосредоточены на устранении выявленных уязвимостей во всех официально поддерживаемых версиях, вплоть до 2020.2 Alpha. Мы не планируем выпускать патч для других версий Unity.
Сейчас мы сосредоточены на устранении выявленных уязвимостей во всех официально поддерживаемых версиях, вплоть до 2020.2 Alpha. Мы не планируем выпускать патч для других версий Unity.
Возможно, вам придется пересобрать пакеты, если какие-либо ресурсы будут повторно импортированы при первом открытии проекта в исправленной версии редактора Unity.
Ссылки
- [1] 2019年3月14日f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018年4月23日f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017440f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 202020a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 202010b9
https://unity3d.com/unity/beta/2020.1.0b9