MPlayer et les patches

Le
Yugo
Le 21 janvier, je m'inquiétais, dèjà! de l'application des patches de
MPlayer:

«Où puis-je voir chez

http://debian-multimedia.org

que le bug buffer overflow dans asmrp.c de mplayer

http://www.mplayerhq.hu/design7/news.html

a été patché?»

<http://groups.google.com/group/fr.comp.os.linux.debats/browse_frm/thread/89514ec05c6d909b/6c8a77fde6be58eb?lnk=st&q=&rnum=2&hl=fr#6c8a77fde6be58eb>



Aujourd'hui, résumons les événements ainsi:

2006-10-22, Sunday :: MPlayer 1.0rc1 released

2006-12-31, Sunday :: buffer overflow in asmrp.c

2007-06-05, Tuesday :: stack overflow in stream_cddb.c

<http://www.mplayerhq.hu/design7/news.html>

Depuis sept mois, donc, MPlayer en est toujours au release candidate
et semble sur le point de finir sa vie à ce stade. En effet, depuis
lors, aucune des patches nécessaires pour les deux buffer overflow
n'ont été appliquées.

À entendre les développeurs, il ne s'agit pourtant, si j'ai bien
compris, que d'utiliser la version SVN et de recomplier. Une affaire
de 5 minutes,.. qui traîne depuis presque 6 mois!

J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici
ce que j'ai trouvé:

mplayer_1.0-rc1svn20070501-0.1_i386.deb 07-May-2007 15:58 2.8M

<http://ftp.sunet.se/pub/os/Linux/distributions/debian-multimedia/pool/main/m/mplayer/?C=M;O=D>

C'est donc la version SVN du premier mai qui est la plus récente. Je
suppose donc qu'elle comprend la patch du 31 décembre 2006, mais je
trouve surprenant qu'il ait fallu 4 mois pour l'appliquer. Ou alors,
c'est une nouvelle patch pour un bug dont le site de MPlayer ne fait
pas mention?

Et où est la patch pour le 5 juin? Je veux bien comrpendre que cette
dernière vulnérabilité n'a trait qu'à l'utilisation de cddb (database
pour CD), mais la plupart des nouveaux utilisateurs n'ont aucune idée
de cette patch et tomberaient directement dans le panneau si un site
malveillant existait.

Personnellement, je trouve très difficile de comprendre si les patches
sont appliquées. Quelqu'un peut-il m'éclairer? Un court briefing ou
une référence sur le fonctionnement de SVN serait aussi apprécié.
Vos réponses Page 2 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Yugo
Le #5831371
nicolas vigier wrote:
On 2007-06-17, Yugo
J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici
ce que j'ai trouvé:

mplayer_1.0-rc1svn20070501-0.1_i386.deb 07-May-2007 15:58 2.8M



Maintenant tu as aussi une version rc1svn20070618. Donc avec le patch
du 5 juin dont tu parles.


Oui, depuis lundi. On dirait que ma lettre l'a sorti des nues.


Yugo
Le #5831351
Yugo wrote:
nicolas vigier wrote:

On 2007-06-17, Yugo
J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu.
Voici ce que j'ai trouvé:

mplayer_1.0-rc1svn20070501-0.1_i386.deb 07-May-2007 15:58 2.8M




Maintenant tu as aussi une version rc1svn20070618. Donc avec le patch
du 5 juin dont tu parles.



Oui, depuis lundi. On dirait que ma lettre l'a sorti des nues.


Autre petite question aux utilisateurs de apt-get.

Marillat semble laisser toutes les versions précédentes dans le
répertoire tandis que PCLinuxOS, qui utilise aussi apt-get, n'a qu'une
version, la dernière, sur laquelle toutes les patchs sont appliquées,
je suppose.

Pourrait-il parfois y avoir de bonnes raisons de ne pas appliquer la
dernière version patchée?



Publicité
Poster une réponse
Anonyme