MPlayer et les patches

Le
Yugo
Le 21 janvier, je m'inquiétais, dèjà! de l'application des patches de
MPlayer:

«Où puis-je voir chez

http://debian-multimedia.org

que le bug buffer overflow dans asmrp.c de mplayer

http://www.mplayerhq.hu/design7/news.html

a été patché?»

<http://groups.google.com/group/fr.comp.os.linux.debats/browse_frm/thread/89514ec05c6d909b/6c8a77fde6be58eb?lnk=st&q=&rnum=2&hl=fr#6c8a77fde6be58eb>



Aujourd'hui, résumons les événements ainsi:

2006-10-22, Sunday :: MPlayer 1.0rc1 released

2006-12-31, Sunday :: buffer overflow in asmrp.c

2007-06-05, Tuesday :: stack overflow in stream_cddb.c

<http://www.mplayerhq.hu/design7/news.html>

Depuis sept mois, donc, MPlayer en est toujours au release candidate
et semble sur le point de finir sa vie à ce stade. En effet, depuis
lors, aucune des patches nécessaires pour les deux buffer overflow
n'ont été appliquées.

À entendre les développeurs, il ne s'agit pourtant, si j'ai bien
compris, que d'utiliser la version SVN et de recomplier. Une affaire
de 5 minutes,.. qui traîne depuis presque 6 mois!

J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici
ce que j'ai trouvé:

mplayer_1.0-rc1svn20070501-0.1_i386.deb 07-May-2007 15:58 2.8M

<http://ftp.sunet.se/pub/os/Linux/distributions/debian-multimedia/pool/main/m/mplayer/?C=M;O=D>

C'est donc la version SVN du premier mai qui est la plus récente. Je
suppose donc qu'elle comprend la patch du 31 décembre 2006, mais je
trouve surprenant qu'il ait fallu 4 mois pour l'appliquer. Ou alors,
c'est une nouvelle patch pour un bug dont le site de MPlayer ne fait
pas mention?

Et où est la patch pour le 5 juin? Je veux bien comrpendre que cette
dernière vulnérabilité n'a trait qu'à l'utilisation de cddb (database
pour CD), mais la plupart des nouveaux utilisateurs n'ont aucune idée
de cette patch et tomberaient directement dans le panneau si un site
malveillant existait.

Personnellement, je trouve très difficile de comprendre si les patches
sont appliquées. Quelqu'un peut-il m'éclairer? Un court briefing ou
une référence sur le fonctionnement de SVN serait aussi apprécié.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Yugo
Le #5832721
Yugo wrote:
Le 21 janvier, je m'inquiétais, dèjà! de l'application des patches de
MPlayer:

«Où puis-je voir chez

http://debian-multimedia.org

que le bug buffer overflow dans asmrp.c de mplayer

http://www.mplayerhq.hu/design7/news.html

a été patché?»



------------------------------------------------------

Aujourd'hui, résumons les événements ainsi:

2006-10-22, Sunday :: MPlayer 1.0rc1 released

2006-12-31, Sunday :: buffer overflow in asmrp.c

2007-06-05, Tuesday :: stack overflow in stream_cddb.c


Depuis sept mois, donc, MPlayer en est toujours au release candidate et
semble sur le point de finir sa vie à ce stade. En effet, depuis lors,
aucune des patches nécessaires pour les deux buffer overflow n'ont été
appliquées.

À entendre les développeurs, il ne s'agit pourtant, si j'ai bien
compris, que d'utiliser la version SVN et de recomplier. Une affaire de
5 minutes,.. qui traîne depuis presque 6 mois!

J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici
ce que j'ai trouvé:

mplayer_1.0-rc1svn20070501-0.1_i386.deb 07-May-2007 15:58 2.8M



C'est donc la version SVN du premier mai qui est la plus récente. Je
suppose donc qu'elle comprend la patch du 31 décembre 2006, mais je
trouve surprenant qu'il ait fallu 4 mois pour l'appliquer. Ou alors,
c'est une nouvelle patch pour un bug dont le site de MPlayer ne fait pas
mention?

Et où est la patch pour le 5 juin? Je veux bien comrpendre que cette
dernière vulnérabilité n'a trait qu'à l'utilisation de cddb (database
pour CD), mais la plupart des nouveaux utilisateurs n'ont aucune idée de
cette patch et tomberaient directement dans le panneau si un site
malveillant existait.

Personnellement, je trouve très difficile de comprendre si les patches
sont appliquées. Quelqu'un peut-il m'éclairer? Un court briefing ou une
référence sur le fonctionnement de SVN serait aussi apprécié.


Je suis tout de même surpris que les grands experts ici se soucient
aussi peu de sécurité. Évidemment, j'aurais pu poser ma question sur
Configuration dans l'espoir de recevoir une réponse de Hugolino ou de
personne n est parfait, mais, vu que la suite va sans doute tourner
autour des questions de licences, j'étais prêt à me contenter de
l'opinion de gens moins compétents.

Ai-je tort de tant m'en faire pour des failles qualifiées de très
graves? Après tout, c'est linux...

Thierry B.
Le #5832711
--{ Yugo a plopé ceci: }--

Ai-je tort de tant m'en faire pour des failles qualifiées de très
graves? Après tout, c'est linux...

Une réponse de l'équipe mplayer ?



--
http://fortran.morefun.over-blog.com/

Mihamina (R12y) Rakotomandimby
Le #5832681
Yugo -
Je suis tout de même surpris que les grands experts ici se soucient
aussi peu de sécurité.


Non... je pense que tu as tout simplement plonké, par raison de sécurité
aussi. :-)
Tu ne crois pas?

Yugo
Le #5832661
Mihamina (R12y) Rakotomandimby wrote:
Yugo -

Je suis tout de même surpris que les grands experts ici se soucient
aussi peu de sécurité.



Non... je pense que tu as tout simplement plonké, par raison de sécurité
aussi. :-)


Tu veux dire «été plonké», je suppose. Il faudrait que ce soit très
récent, mais, si je puis me permettre d'exprimer un regret, c'est de
ne pas l'avoir été par toi.

Mais je puis régler le problème de mon côté. Plonk!


Stephane TOUGARD
Le #5832621
Yugo wrote:

Tu veux dire «été plonké», je suppose. Il faudrait que ce soit très
récent, mais, si je puis me permettre d'exprimer un regret, c'est de
ne pas l'avoir été par toi.

Mais je puis régler le problème de mon côté. Plonk!


Tu devrais faire un AAD fr.comp.os.linux.yugo, tu aurais un forum pour
toi tout seul.

Mihamina (R12y) Rakotomandimby
Le #5832581
Yugo -
Mais je puis régler le problème de mon côté. Plonk!


Quand un mec me _dit_ qu'il me plonk, je ne le crois pas.
Parceque quand on plonk quelqu'un, on le fait, on ne le dit pas :-)
(Ben oui, sinon, ça na pas vraiment de sens)

Bonne route.

Yugo
Le #5832231
Thierry B. wrote:
--{ Yugo a plopé ceci: }--


Ai-je tort de tant m'en faire pour des failles qualifiées de très
graves? Après tout, c'est linux...



Une réponse de l'équipe mplayer ?


Je pense que leur position serait très claire: les patches sont là.
libre à tout le monde de les appliquer... et donc, de partager la
responsabilité si jamais il devait y avoir des poursuites.

Pour savoir ce qui se passe, pour Debian, par exemple, c'est à
Marillat qu'il faudrait que j'écrive mais, vu que la sécurité est
tellement importante chez Linux, ça me semble une question de neuneu à
ne pas poser directement au mainteneur. Comme je le disais, avec tous
les experts LInux épris de sécurité sur ce groupe, je m'attendais à
obtenir une réponse en moins de deux.


nicolas vigier
Le #5831401
On 2007-06-17, Yugo
J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici
ce que j'ai trouvé:

mplayer_1.0-rc1svn20070501-0.1_i386.deb 07-May-2007 15:58 2.8M


Maintenant tu as aussi une version rc1svn20070618. Donc avec le patch
du 5 juin dont tu parles.

nicolas vigier
Le #5831391
On 2007-06-17, Yugo

Je suis tout de même surpris que les grands experts ici se soucient
aussi peu de sécurité. Évidemment, j'aurais pu poser ma question sur
Configuration dans l'espoir de recevoir une réponse de Hugolino ou de
personne n est parfait, mais, vu que la suite va sans doute tourner
autour des questions de licences, j'étais prêt à me contenter de
l'opinion de gens moins compétents.

Ai-je tort de tant m'en faire pour des failles qualifiées de très
graves? Après tout, c'est linux...


Ha, c'est des failles qualifiées de très graves ? C'est vrai que tout
le monde utilise mplayer, avec la version de debian-multimedia (et pas
les packages debian officiels), et l'utilise avec cddb.

Après, rien ne t'empeche de contacter la personne qui fait les packages
de debian-multimedia, pour lui demander s'il a bien appliqué le correctif.

nicolas vigier
Le #5831381
On 2007-06-18, Yugo
Thierry B. wrote:
--{ Yugo a plopé ceci: }--


Ai-je tort de tant m'en faire pour des failles qualifiées de très
graves? Après tout, c'est linux...



Une réponse de l'équipe mplayer ?


Je pense que leur position serait très claire: les patches sont là.
libre à tout le monde de les appliquer... et donc, de partager la
responsabilité si jamais il devait y avoir des poursuites.

Pour savoir ce qui se passe, pour Debian, par exemple, c'est à
Marillat qu'il faudrait que j'écrive mais, vu que la sécurité est
tellement importante chez Linux, ça me semble une question de neuneu à
ne pas poser directement au mainteneur. Comme je le disais, avec tous
les experts LInux épris de sécurité sur ce groupe, je m'attendais à
obtenir une réponse en moins de deux.


debian-multimedia n'a rien à voir avec debian. Debian met à jour ses
packages pour les versions supportées, mais c'est pas forcement le cas
des gens qui font des packages non officiels comme ceux de debian-multimedia.
À toi de te renseigner auprès de ces personnes pour savoir ce qu'ils
comptent faire, ou de verifier par toi meme s'ils le font.



Publicité
Poster une réponse
Anonyme