Le 21/11/03 19:08, dans <1g4sfda.dyxheia81z75N%, « Pierre-Alain Dorange » a écrit :
Éric Lévénez wrote:
En tout cas la MAJ de hier (19-11-2003) comprend bien un correctif relatif à la compression ZIP.
Non.
GZIP est décrit dans les RFC 1951 et RFC 1952 et est un format qui est ainsi assez standardisé, contrairement au format ZIP d'origine Windows. La compression ZIP n'est pas la compression Gzip malgré un nom proche. Cela n'a donc rien à voir avec du GNU ZIP ou autre. De plus il doit y avoir dans les 3 formats ZIP sur Windows très proches et quasi-compatibles, mais parfois un zip d'un programme n'est pas relu sur un zip d'un autre programme. Et là je parle de programmes du monde Windows.
Je sais pas trop, mais j'ai lu d'une part :
Apple - MAJ 19-11-2003 "la mise à jour de la sécurité 19/11/2003 inclut les composants suivants mis à jour : OpenSSL et Fonction zlib "gzprintf()"
La ZLIB n'a rien à voir avec le format ZIP, c'est une bibliothèque pour accéder au format GZIP.
et d'autre part :
Zlib (http://www.gzip.org/zlib/) : "[...] Not surprisingly, the compression algorithm used in zlib is essentially the same as that in gzip and Zip, namely, the `deflate' method that originated in PKWARE's PKZIP 2.x."
La méthode Deflate (RFC 1951) est en effet la même dans le format GZIP et dans PKZIP (l'un des 3 ZIP windows), mais le format de fichier n'est pas identique. L'un est un compresseur, l'autre est un archiveur avec compression.
On sait que PKZIP et autres WinZIP n'utilise pas que la méthode "deflatten" bien sur, mais aussi principalement "implode" qui n'est donc pas couvert par zlib. Pr contre il est clair que zlib propose le ZIP/Deflatten et si il est inclus dans MacOS X c'est probablement pas pour faire joli...
La fonction gzprintf qui a été corrigée dans le patch n'est utilisé par pratiquement aucun programmeur C (et donc encore moins si le programmeur utilise un autre langage). La fonction utilisée à la place est principalement gzwrite. Gzprintf est de plus normalement adaptée à des sortie texte compressée et est très mal adaptée pour du binaire comme doit le gérer des outils de compression génériques.
D'ou ma conclusion qu'il pouvait y avoir un rapport...
Il y a un rapport, mais la ZLIB ne peut être utilisé pour créer un ZIP, donc même si la méthode Deflate est commune, ce n'est pas possible. Cela aurait pu être le cas si Panther au lieu d'utiliser le format ZIP avait utilisé la compression GZIP (mais il aurait fallu ajouter un archiver type tar ou pax).
Mais bon tu as probablement d'autres sources d'informations.
Pour ce qui concerne le lien ZIP/GZIP c'est juste que ce n'est pas le bon format de fichier. Pour l'utilisation de la ZLIB dans Panther c'est : <http://docs.info.apple.com/article.html?artnuma798> : "While there were no functions in Mac OS X that used the vulnerable gzprintf() function, the underlying issue in zlib has been fixed to protect any third-party applications that may potentially use this library."
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 21/11/03 19:08, dans
<1g4sfda.dyxheia81z75N%phpinfo@pas-de-pub-merci.mac.com>, « Pierre-Alain
Dorange » <phpinfo@pas-de-pub-merci.mac.com> a écrit :
Éric Lévénez <news@levenez.com> wrote:
En tout cas la MAJ de hier (19-11-2003) comprend bien un correctif
relatif à la compression ZIP.
Non.
GZIP est décrit dans les RFC 1951 et RFC 1952 et est un format qui est ainsi
assez standardisé, contrairement au format ZIP d'origine Windows. La
compression ZIP n'est pas la compression Gzip malgré un nom proche. Cela n'a
donc rien à voir avec du GNU ZIP ou autre. De plus il doit y avoir dans les
3 formats ZIP sur Windows très proches et quasi-compatibles, mais parfois un
zip d'un programme n'est pas relu sur un zip d'un autre programme. Et là je
parle de programmes du monde Windows.
Je sais pas trop, mais j'ai lu d'une part :
Apple - MAJ 19-11-2003
"la mise à jour de la sécurité 19/11/2003 inclut les composants suivants
mis à jour : OpenSSL et Fonction zlib "gzprintf()"
La ZLIB n'a rien à voir avec le format ZIP, c'est une bibliothèque pour
accéder au format GZIP.
et d'autre part :
Zlib (http://www.gzip.org/zlib/) :
"[...] Not surprisingly, the compression algorithm used in zlib is
essentially the same as that in gzip and Zip, namely, the `deflate'
method that originated in PKWARE's PKZIP 2.x."
La méthode Deflate (RFC 1951) est en effet la même dans le format GZIP et
dans PKZIP (l'un des 3 ZIP windows), mais le format de fichier n'est pas
identique. L'un est un compresseur, l'autre est un archiveur avec
compression.
On sait que PKZIP et autres WinZIP n'utilise pas que la méthode
"deflatten" bien sur, mais aussi principalement "implode" qui n'est donc
pas couvert par zlib. Pr contre il est clair que zlib propose le
ZIP/Deflatten et si il est inclus dans MacOS X c'est probablement pas
pour faire joli...
La fonction gzprintf qui a été corrigée dans le patch n'est utilisé par
pratiquement aucun programmeur C (et donc encore moins si le programmeur
utilise un autre langage). La fonction utilisée à la place est
principalement gzwrite. Gzprintf est de plus normalement adaptée à des
sortie texte compressée et est très mal adaptée pour du binaire comme doit
le gérer des outils de compression génériques.
D'ou ma conclusion qu'il pouvait y avoir un rapport...
Il y a un rapport, mais la ZLIB ne peut être utilisé pour créer un ZIP, donc
même si la méthode Deflate est commune, ce n'est pas possible. Cela aurait
pu être le cas si Panther au lieu d'utiliser le format ZIP avait utilisé la
compression GZIP (mais il aurait fallu ajouter un archiver type tar ou pax).
Mais bon tu as probablement d'autres sources d'informations.
Pour ce qui concerne le lien ZIP/GZIP c'est juste que ce n'est pas le bon
format de fichier. Pour l'utilisation de la ZLIB dans Panther c'est :
<http://docs.info.apple.com/article.html?artnuma798> : "While there were
no functions in Mac OS X that used the vulnerable gzprintf() function, the
underlying issue in zlib has been fixed to protect any third-party
applications that may potentially use this library."
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 21/11/03 19:08, dans <1g4sfda.dyxheia81z75N%, « Pierre-Alain Dorange » a écrit :
Éric Lévénez wrote:
En tout cas la MAJ de hier (19-11-2003) comprend bien un correctif relatif à la compression ZIP.
Non.
GZIP est décrit dans les RFC 1951 et RFC 1952 et est un format qui est ainsi assez standardisé, contrairement au format ZIP d'origine Windows. La compression ZIP n'est pas la compression Gzip malgré un nom proche. Cela n'a donc rien à voir avec du GNU ZIP ou autre. De plus il doit y avoir dans les 3 formats ZIP sur Windows très proches et quasi-compatibles, mais parfois un zip d'un programme n'est pas relu sur un zip d'un autre programme. Et là je parle de programmes du monde Windows.
Je sais pas trop, mais j'ai lu d'une part :
Apple - MAJ 19-11-2003 "la mise à jour de la sécurité 19/11/2003 inclut les composants suivants mis à jour : OpenSSL et Fonction zlib "gzprintf()"
La ZLIB n'a rien à voir avec le format ZIP, c'est une bibliothèque pour accéder au format GZIP.
et d'autre part :
Zlib (http://www.gzip.org/zlib/) : "[...] Not surprisingly, the compression algorithm used in zlib is essentially the same as that in gzip and Zip, namely, the `deflate' method that originated in PKWARE's PKZIP 2.x."
La méthode Deflate (RFC 1951) est en effet la même dans le format GZIP et dans PKZIP (l'un des 3 ZIP windows), mais le format de fichier n'est pas identique. L'un est un compresseur, l'autre est un archiveur avec compression.
On sait que PKZIP et autres WinZIP n'utilise pas que la méthode "deflatten" bien sur, mais aussi principalement "implode" qui n'est donc pas couvert par zlib. Pr contre il est clair que zlib propose le ZIP/Deflatten et si il est inclus dans MacOS X c'est probablement pas pour faire joli...
La fonction gzprintf qui a été corrigée dans le patch n'est utilisé par pratiquement aucun programmeur C (et donc encore moins si le programmeur utilise un autre langage). La fonction utilisée à la place est principalement gzwrite. Gzprintf est de plus normalement adaptée à des sortie texte compressée et est très mal adaptée pour du binaire comme doit le gérer des outils de compression génériques.
D'ou ma conclusion qu'il pouvait y avoir un rapport...
Il y a un rapport, mais la ZLIB ne peut être utilisé pour créer un ZIP, donc même si la méthode Deflate est commune, ce n'est pas possible. Cela aurait pu être le cas si Panther au lieu d'utiliser le format ZIP avait utilisé la compression GZIP (mais il aurait fallu ajouter un archiver type tar ou pax).
Mais bon tu as probablement d'autres sources d'informations.
Pour ce qui concerne le lien ZIP/GZIP c'est juste que ce n'est pas le bon format de fichier. Pour l'utilisation de la ZLIB dans Panther c'est : <http://docs.info.apple.com/article.html?artnuma798> : "While there were no functions in Mac OS X that used the vulnerable gzprintf() function, the underlying issue in zlib has been fixed to protect any third-party applications that may potentially use this library."
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
