Рекомендации по обновлению безопасности за май 2020 г. (CVE-2020-12630, CVE-2020-12631)
Сведения об уязвимости
ИДЕНТИФИКАТОР CVE: CVE-2020-12630, CVE-2020-12631
Тип Отказ в обслуживании
Дата обнаружения: 03.10.2022 - 2020/01/31 $
Обнаружено: Джек Бейкер
Дата выпуска исправления: 30.01.2023 - 2020/05/19 $
Затронутая операционная система: Все поддерживаемые платформы
Затронутые версии: Все
Строгость: Высокий
Исправленные версии:
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9
В функции Unity Multiplayer and NetworkingUNETбыли выявлены две проблемы с нехваткой памяти, затрагивающие игры и приложения, созданные с помощью редактора Unity с использованием UNET. Эти проблемы могут привести к отказу в обслуживании (DoS), что позволит злоумышленнику привести к сбою процесса Unity и, возможно, игры или приложения.
Действия по устранению
Определите версию вашего редактора Unity
Откройте проект Unity.
Версия Unity отображается в заголовке главного окна.
Установить обновление
Если ваша версия редактора Unity не входит в число версий исправлений в разделе «Сведения об уязвимости» выше, вы можете продолжить установку обновления следующим образом.
Чтобы установить обновление, вы можете использовать средство проверки обновлений Unity Editor, доступное в меню «Файл» «Справка» -> «Проверить наличие обновлений».
Дополнительно вы можете скачать и установить соответствующий патч для вашей версии редактора Unity. Ссылки для скачивания доступны вразделе «Версии исправлений»раздела«Сведения об уязвимости»и в разделе«Ссылки».
Сборка и развертывание
После обновления редактора Unity вы можете перейти к созданию новой сборки игры или приложения и развернуть новую исправленную версию.
FAQ
Были выявлены две проблемы с выходом за пределы памяти, которые могут привести к отказу в обслуживании (DoS), что позволит злоумышленнику привести к сбою процесса Unity и, возможно, игры или приложения.
Да. Затрагиваются игры и приложения, созданные с помощью редактора Unity с использованием функции Unity Multiplayer и Networking UNET .
Выявленным уязвимостям подвержен только Unity UNET .
Это зависит от конкретной версии редактора Unity, которую вы используете. Большинство клиентов смогут обновиться до исправленных версий без необходимости пересборки своих пакетов, но некоторые клиенты могут обнаружить, что импортеры активов были обновлены между версией, которую они используют в настоящее время, и патчем для этого точечного выпуска. Для этих клиентов может потребоваться восстановление пакета активов.
Это касается всех поддерживаемых платформ.
Затронуты все версии платформы.
Это касается всех версий редактора Unity.
Мы выпустили патч для всех официально поддерживаемых версий редактора Unity вплоть до 2020.2 Alpha. Все последующие версии также включают исправление.
Unity выпустит по одному патчу для каждой из самых последних версий, то есть последнего обновления редактора Unity.
Сейчас мы сосредоточены на устранении выявленных уязвимостей во всех официально поддерживаемых версиях, вплоть до 2020.2 Alpha. Мы не планируем выпускать патч для других версий Unity.
Сейчас мы сосредоточены на устранении выявленных уязвимостей во всех официально поддерживаемых версиях, вплоть до 2020.2 Alpha. Мы не планируем выпускать патч для других версий Unity.
Возможно, вам придется пересобрать пакеты, если какие-либо ресурсы будут повторно импортированы при первом открытии проекта в исправленной версии редактора Unity.
Ссылки
- [1] 2019.3.14f1
https://unity3d.com/unity/whats-new/2019.3.14 - [2] 2018.4.23f1
https://unity3d.com/unity/whats-new/2018.4.23 - [3] 2017.4.40f1
https://unity3d.com/unity/whats-new/2017.4.40 - [4] 2020.2.0a11
https://unity3d.com/unity/alpha/2020.2.0a11 - [5] 2020.1.0b9
https://unity3d.com/unity/beta/2020.1.0b9