2007-06-05, Tuesday :: stack overflow in stream_cddb.c
<http://www.mplayerhq.hu/design7/news.html>
Depuis sept mois, donc, MPlayer en est toujours au release candidate
et semble sur le point de finir sa vie à ce stade. En effet, depuis
lors, aucune des patches nécessaires pour les deux buffer overflow
n'ont été appliquées.
À entendre les développeurs, il ne s'agit pourtant, si j'ai bien
compris, que d'utiliser la version SVN et de recomplier. Une affaire
de 5 minutes,.. qui traîne depuis presque 6 mois!
J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici
ce que j'ai trouvé:
C'est donc la version SVN du premier mai qui est la plus récente. Je
suppose donc qu'elle comprend la patch du 31 décembre 2006, mais je
trouve surprenant qu'il ait fallu 4 mois pour l'appliquer. Ou alors,
c'est une nouvelle patch pour un bug dont le site de MPlayer ne fait
pas mention?
Et où est la patch pour le 5 juin? Je veux bien comrpendre que cette
dernière vulnérabilité n'a trait qu'à l'utilisation de cddb (database
pour CD), mais la plupart des nouveaux utilisateurs n'ont aucune idée
de cette patch et tomberaient directement dans le panneau si un site
malveillant existait.
Personnellement, je trouve très difficile de comprendre si les patches
sont appliquées. Quelqu'un peut-il m'éclairer? Un court briefing ou
une référence sur le fonctionnement de SVN serait aussi apprécié.
Maintenant tu as aussi une version rc1svn20070618. Donc avec le patch du 5 juin dont tu parles.
Oui, depuis lundi. On dirait que ma lettre l'a sorti des nues.
Autre petite question aux utilisateurs de apt-get.
Marillat semble laisser toutes les versions précédentes dans le répertoire tandis que PCLinuxOS, qui utilise aussi apt-get, n'a qu'une version, la dernière, sur laquelle toutes les patchs sont appliquées, je suppose.
Pourrait-il parfois y avoir de bonnes raisons de ne pas appliquer la dernière version patchée?
Yugo wrote:
nicolas vigier wrote:
On 2007-06-17, Yugo <yugo@noemailaddress.com> wrote:
J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu.
Voici ce que j'ai trouvé:
Maintenant tu as aussi une version rc1svn20070618. Donc avec le patch
du 5 juin dont tu parles.
Oui, depuis lundi. On dirait que ma lettre l'a sorti des nues.
Autre petite question aux utilisateurs de apt-get.
Marillat semble laisser toutes les versions précédentes dans le
répertoire tandis que PCLinuxOS, qui utilise aussi apt-get, n'a qu'une
version, la dernière, sur laquelle toutes les patchs sont appliquées,
je suppose.
Pourrait-il parfois y avoir de bonnes raisons de ne pas appliquer la
dernière version patchée?
Maintenant tu as aussi une version rc1svn20070618. Donc avec le patch du 5 juin dont tu parles.
Oui, depuis lundi. On dirait que ma lettre l'a sorti des nues.
Autre petite question aux utilisateurs de apt-get.
Marillat semble laisser toutes les versions précédentes dans le répertoire tandis que PCLinuxOS, qui utilise aussi apt-get, n'a qu'une version, la dernière, sur laquelle toutes les patchs sont appliquées, je suppose.
Pourrait-il parfois y avoir de bonnes raisons de ne pas appliquer la dernière version patchée?