Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux Discussions Générales MPlayer et les patches

MPlayer et les patches

12 réponses
Avatar
Yugo
Le 21 janvier, je m'inquiétais, dèjà! de l'application des patches de
MPlayer:

«Où puis-je voir chez

http://debian-multimedia.org

que le bug buffer overflow dans asmrp.c de mplayer

http://www.mplayerhq.hu/design7/news.html

a été patché?»

<http://groups.google.com/group/fr.comp.os.linux.debats/browse_frm/thread/89514ec05c6d909b/6c8a77fde6be58eb?lnk=st&q=&rnum=2&hl=fr#6c8a77fde6be58eb>

------------------------------------------------------

Aujourd'hui, résumons les événements ainsi:

2006-10-22, Sunday :: MPlayer 1.0rc1 released

2006-12-31, Sunday :: buffer overflow in asmrp.c

2007-06-05, Tuesday :: stack overflow in stream_cddb.c

<http://www.mplayerhq.hu/design7/news.html>

Depuis sept mois, donc, MPlayer en est toujours au release candidate
et semble sur le point de finir sa vie à ce stade. En effet, depuis
lors, aucune des patches nécessaires pour les deux buffer overflow
n'ont été appliquées.

À entendre les développeurs, il ne s'agit pourtant, si j'ai bien
compris, que d'utiliser la version SVN et de recomplier. Une affaire
de 5 minutes,.. qui traîne depuis presque 6 mois!

J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici
ce que j'ai trouvé:

mplayer_1.0-rc1svn20070501-0.1_i386.deb 07-May-2007 15:58 2.8M

<http://ftp.sunet.se/pub/os/Linux/distributions/debian-multimedia/pool/main/m/mplayer/?C=M;O=D>

C'est donc la version SVN du premier mai qui est la plus récente. Je
suppose donc qu'elle comprend la patch du 31 décembre 2006, mais je
trouve surprenant qu'il ait fallu 4 mois pour l'appliquer. Ou alors,
c'est une nouvelle patch pour un bug dont le site de MPlayer ne fait
pas mention?

Et où est la patch pour le 5 juin? Je veux bien comrpendre que cette
dernière vulnérabilité n'a trait qu'à l'utilisation de cddb (database
pour CD), mais la plupart des nouveaux utilisateurs n'ont aucune idée
de cette patch et tomberaient directement dans le panneau si un site
malveillant existait.

Personnellement, je trouve très difficile de comprendre si les patches
sont appliquées. Quelqu'un peut-il m'éclairer? Un court briefing ou
une référence sur le fonctionnement de SVN serait aussi apprécié.
Signaler un problème avec ce contenu

2 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2
Avatar
Yugo
nicolas vigier wrote:
On 2007-06-17, Yugo wrote:

J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici
ce que j'ai trouvé:

mplayer_1.0-rc1svn20070501-0.1_i386.deb 07-May-2007 15:58 2.8M



Maintenant tu as aussi une version rc1svn20070618. Donc avec le patch
du 5 juin dont tu parles.


Oui, depuis lundi. On dirait que ma lettre l'a sorti des nues.


Avatar
Yugo
Yugo wrote:
nicolas vigier wrote:

On 2007-06-17, Yugo wrote:

J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu.
Voici ce que j'ai trouvé:

mplayer_1.0-rc1svn20070501-0.1_i386.deb 07-May-2007 15:58 2.8M




Maintenant tu as aussi une version rc1svn20070618. Donc avec le patch
du 5 juin dont tu parles.



Oui, depuis lundi. On dirait que ma lettre l'a sorti des nues.


Autre petite question aux utilisateurs de apt-get.

Marillat semble laisser toutes les versions précédentes dans le
répertoire tandis que PCLinuxOS, qui utilise aussi apt-get, n'a qu'une
version, la dernière, sur laquelle toutes les patchs sont appliquées,
je suppose.

Pourrait-il parfois y avoir de bonnes raisons de ne pas appliquer la
dernière version patchée?



1 2