2007-06-05, Tuesday :: stack overflow in stream_cddb.c
<http://www.mplayerhq.hu/design7/news.html>
Depuis sept mois, donc, MPlayer en est toujours au release candidate
et semble sur le point de finir sa vie à ce stade. En effet, depuis
lors, aucune des patches nécessaires pour les deux buffer overflow
n'ont été appliquées.
À entendre les développeurs, il ne s'agit pourtant, si j'ai bien
compris, que d'utiliser la version SVN et de recomplier. Une affaire
de 5 minutes,.. qui traîne depuis presque 6 mois!
J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici
ce que j'ai trouvé:
C'est donc la version SVN du premier mai qui est la plus récente. Je
suppose donc qu'elle comprend la patch du 31 décembre 2006, mais je
trouve surprenant qu'il ait fallu 4 mois pour l'appliquer. Ou alors,
c'est une nouvelle patch pour un bug dont le site de MPlayer ne fait
pas mention?
Et où est la patch pour le 5 juin? Je veux bien comrpendre que cette
dernière vulnérabilité n'a trait qu'à l'utilisation de cddb (database
pour CD), mais la plupart des nouveaux utilisateurs n'ont aucune idée
de cette patch et tomberaient directement dans le panneau si un site
malveillant existait.
Personnellement, je trouve très difficile de comprendre si les patches
sont appliquées. Quelqu'un peut-il m'éclairer? Un court briefing ou
une référence sur le fonctionnement de SVN serait aussi apprécié.
2007-06-05, Tuesday :: stack overflow in stream_cddb.c
<http://www.mplayerhq.hu/design7/news.html>
Depuis sept mois, donc, MPlayer en est toujours au release candidate et semble sur le point de finir sa vie à ce stade. En effet, depuis lors, aucune des patches nécessaires pour les deux buffer overflow n'ont été appliquées.
À entendre les développeurs, il ne s'agit pourtant, si j'ai bien compris, que d'utiliser la version SVN et de recomplier. Une affaire de 5 minutes,.. qui traîne depuis presque 6 mois!
J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici ce que j'ai trouvé:
C'est donc la version SVN du premier mai qui est la plus récente. Je suppose donc qu'elle comprend la patch du 31 décembre 2006, mais je trouve surprenant qu'il ait fallu 4 mois pour l'appliquer. Ou alors, c'est une nouvelle patch pour un bug dont le site de MPlayer ne fait pas mention?
Et où est la patch pour le 5 juin? Je veux bien comrpendre que cette dernière vulnérabilité n'a trait qu'à l'utilisation de cddb (database pour CD), mais la plupart des nouveaux utilisateurs n'ont aucune idée de cette patch et tomberaient directement dans le panneau si un site malveillant existait.
Personnellement, je trouve très difficile de comprendre si les patches sont appliquées. Quelqu'un peut-il m'éclairer? Un court briefing ou une référence sur le fonctionnement de SVN serait aussi apprécié.
Je suis tout de même surpris que les grands experts ici se soucient aussi peu de sécurité. Évidemment, j'aurais pu poser ma question sur Configuration dans l'espoir de recevoir une réponse de Hugolino ou de personne n est parfait, mais, vu que la suite va sans doute tourner autour des questions de licences, j'étais prêt à me contenter de l'opinion de gens moins compétents.
Ai-je tort de tant m'en faire pour des failles qualifiées de très graves? Après tout, c'est linux...
Yugo wrote:
Le 21 janvier, je m'inquiétais, dèjà! de l'application des patches de
MPlayer:
«Où puis-je voir chez
http://debian-multimedia.org
que le bug buffer overflow dans asmrp.c de mplayer
2007-06-05, Tuesday :: stack overflow in stream_cddb.c
<http://www.mplayerhq.hu/design7/news.html>
Depuis sept mois, donc, MPlayer en est toujours au release candidate et
semble sur le point de finir sa vie à ce stade. En effet, depuis lors,
aucune des patches nécessaires pour les deux buffer overflow n'ont été
appliquées.
À entendre les développeurs, il ne s'agit pourtant, si j'ai bien
compris, que d'utiliser la version SVN et de recomplier. Une affaire de
5 minutes,.. qui traîne depuis presque 6 mois!
J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici
ce que j'ai trouvé:
C'est donc la version SVN du premier mai qui est la plus récente. Je
suppose donc qu'elle comprend la patch du 31 décembre 2006, mais je
trouve surprenant qu'il ait fallu 4 mois pour l'appliquer. Ou alors,
c'est une nouvelle patch pour un bug dont le site de MPlayer ne fait pas
mention?
Et où est la patch pour le 5 juin? Je veux bien comrpendre que cette
dernière vulnérabilité n'a trait qu'à l'utilisation de cddb (database
pour CD), mais la plupart des nouveaux utilisateurs n'ont aucune idée de
cette patch et tomberaient directement dans le panneau si un site
malveillant existait.
Personnellement, je trouve très difficile de comprendre si les patches
sont appliquées. Quelqu'un peut-il m'éclairer? Un court briefing ou une
référence sur le fonctionnement de SVN serait aussi apprécié.
Je suis tout de même surpris que les grands experts ici se soucient
aussi peu de sécurité. Évidemment, j'aurais pu poser ma question sur
Configuration dans l'espoir de recevoir une réponse de Hugolino ou de
personne n est parfait, mais, vu que la suite va sans doute tourner
autour des questions de licences, j'étais prêt à me contenter de
l'opinion de gens moins compétents.
Ai-je tort de tant m'en faire pour des failles qualifiées de très
graves? Après tout, c'est linux...
2007-06-05, Tuesday :: stack overflow in stream_cddb.c
<http://www.mplayerhq.hu/design7/news.html>
Depuis sept mois, donc, MPlayer en est toujours au release candidate et semble sur le point de finir sa vie à ce stade. En effet, depuis lors, aucune des patches nécessaires pour les deux buffer overflow n'ont été appliquées.
À entendre les développeurs, il ne s'agit pourtant, si j'ai bien compris, que d'utiliser la version SVN et de recomplier. Une affaire de 5 minutes,.. qui traîne depuis presque 6 mois!
J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici ce que j'ai trouvé:
C'est donc la version SVN du premier mai qui est la plus récente. Je suppose donc qu'elle comprend la patch du 31 décembre 2006, mais je trouve surprenant qu'il ait fallu 4 mois pour l'appliquer. Ou alors, c'est une nouvelle patch pour un bug dont le site de MPlayer ne fait pas mention?
Et où est la patch pour le 5 juin? Je veux bien comrpendre que cette dernière vulnérabilité n'a trait qu'à l'utilisation de cddb (database pour CD), mais la plupart des nouveaux utilisateurs n'ont aucune idée de cette patch et tomberaient directement dans le panneau si un site malveillant existait.
Personnellement, je trouve très difficile de comprendre si les patches sont appliquées. Quelqu'un peut-il m'éclairer? Un court briefing ou une référence sur le fonctionnement de SVN serait aussi apprécié.
Je suis tout de même surpris que les grands experts ici se soucient aussi peu de sécurité. Évidemment, j'aurais pu poser ma question sur Configuration dans l'espoir de recevoir une réponse de Hugolino ou de personne n est parfait, mais, vu que la suite va sans doute tourner autour des questions de licences, j'étais prêt à me contenter de l'opinion de gens moins compétents.
Ai-je tort de tant m'en faire pour des failles qualifiées de très graves? Après tout, c'est linux...
Thierry B.
--{ Yugo a plopé ceci: }--
Ai-je tort de tant m'en faire pour des failles qualifiées de très graves? Après tout, c'est linux...
Une réponse de l'équipe mplayer ?
-- http://fortran.morefun.over-blog.com/
--{ Yugo a plopé ceci: }--
Ai-je tort de tant m'en faire pour des failles qualifiées de très
graves? Après tout, c'est linux...
Je suis tout de même surpris que les grands experts ici se soucient aussi peu de sécurité.
Non... je pense que tu as tout simplement plonké, par raison de sécurité aussi. :-) Tu ne crois pas?
Yugo
Mihamina (R12y) Rakotomandimby wrote:
Yugo - :
Je suis tout de même surpris que les grands experts ici se soucient aussi peu de sécurité.
Non... je pense que tu as tout simplement plonké, par raison de sécurité aussi. :-)
Tu veux dire «été plonké», je suppose. Il faudrait que ce soit très récent, mais, si je puis me permettre d'exprimer un regret, c'est de ne pas l'avoir été par toi.
Mais je puis régler le problème de mon côté. Plonk!
Mihamina (R12y) Rakotomandimby wrote:
Yugo - <1182117785.850023@www.vif.com> :
Je suis tout de même surpris que les grands experts ici se soucient
aussi peu de sécurité.
Non... je pense que tu as tout simplement plonké, par raison de sécurité
aussi. :-)
Tu veux dire «été plonké», je suppose. Il faudrait que ce soit très
récent, mais, si je puis me permettre d'exprimer un regret, c'est de
ne pas l'avoir été par toi.
Mais je puis régler le problème de mon côté. Plonk!
Je suis tout de même surpris que les grands experts ici se soucient aussi peu de sécurité.
Non... je pense que tu as tout simplement plonké, par raison de sécurité aussi. :-)
Tu veux dire «été plonké», je suppose. Il faudrait que ce soit très récent, mais, si je puis me permettre d'exprimer un regret, c'est de ne pas l'avoir été par toi.
Mais je puis régler le problème de mon côté. Plonk!
Stephane TOUGARD
Yugo wrote:
Tu veux dire «été plonké», je suppose. Il faudrait que ce soit très récent, mais, si je puis me permettre d'exprimer un regret, c'est de ne pas l'avoir été par toi.
Mais je puis régler le problème de mon côté. Plonk!
Tu devrais faire un AAD fr.comp.os.linux.yugo, tu aurais un forum pour toi tout seul.
Yugo wrote:
Tu veux dire «été plonké», je suppose. Il faudrait que ce soit très
récent, mais, si je puis me permettre d'exprimer un regret, c'est de
ne pas l'avoir été par toi.
Mais je puis régler le problème de mon côté. Plonk!
Tu devrais faire un AAD fr.comp.os.linux.yugo, tu aurais un forum pour
toi tout seul.
Tu veux dire «été plonké», je suppose. Il faudrait que ce soit très récent, mais, si je puis me permettre d'exprimer un regret, c'est de ne pas l'avoir été par toi.
Mais je puis régler le problème de mon côté. Plonk!
Tu devrais faire un AAD fr.comp.os.linux.yugo, tu aurais un forum pour toi tout seul.
Mihamina (R12y) Rakotomandimby
Yugo - :
Mais je puis régler le problème de mon côté. Plonk!
Quand un mec me _dit_ qu'il me plonk, je ne le crois pas. Parceque quand on plonk quelqu'un, on le fait, on ne le dit pas :-) (Ben oui, sinon, ça na pas vraiment de sens)
Bonne route.
Yugo - <1182122611.561968@www.vif.com> :
Mais je puis régler le problème de mon côté. Plonk!
Quand un mec me _dit_ qu'il me plonk, je ne le crois pas.
Parceque quand on plonk quelqu'un, on le fait, on ne le dit pas :-)
(Ben oui, sinon, ça na pas vraiment de sens)
Mais je puis régler le problème de mon côté. Plonk!
Quand un mec me _dit_ qu'il me plonk, je ne le crois pas. Parceque quand on plonk quelqu'un, on le fait, on ne le dit pas :-) (Ben oui, sinon, ça na pas vraiment de sens)
Bonne route.
Yugo
Thierry B. wrote:
--{ Yugo a plopé ceci: }--
Ai-je tort de tant m'en faire pour des failles qualifiées de très graves? Après tout, c'est linux...
Une réponse de l'équipe mplayer ?
Je pense que leur position serait très claire: les patches sont là. libre à tout le monde de les appliquer... et donc, de partager la responsabilité si jamais il devait y avoir des poursuites.
Pour savoir ce qui se passe, pour Debian, par exemple, c'est à Marillat qu'il faudrait que j'écrive mais, vu que la sécurité est tellement importante chez Linux, ça me semble une question de neuneu à ne pas poser directement au mainteneur. Comme je le disais, avec tous les experts LInux épris de sécurité sur ce groupe, je m'attendais à obtenir une réponse en moins de deux.
Thierry B. wrote:
--{ Yugo a plopé ceci: }--
Ai-je tort de tant m'en faire pour des failles qualifiées de très
graves? Après tout, c'est linux...
Une réponse de l'équipe mplayer ?
Je pense que leur position serait très claire: les patches sont là.
libre à tout le monde de les appliquer... et donc, de partager la
responsabilité si jamais il devait y avoir des poursuites.
Pour savoir ce qui se passe, pour Debian, par exemple, c'est à
Marillat qu'il faudrait que j'écrive mais, vu que la sécurité est
tellement importante chez Linux, ça me semble une question de neuneu à
ne pas poser directement au mainteneur. Comme je le disais, avec tous
les experts LInux épris de sécurité sur ce groupe, je m'attendais à
obtenir une réponse en moins de deux.
Ai-je tort de tant m'en faire pour des failles qualifiées de très graves? Après tout, c'est linux...
Une réponse de l'équipe mplayer ?
Je pense que leur position serait très claire: les patches sont là. libre à tout le monde de les appliquer... et donc, de partager la responsabilité si jamais il devait y avoir des poursuites.
Pour savoir ce qui se passe, pour Debian, par exemple, c'est à Marillat qu'il faudrait que j'écrive mais, vu que la sécurité est tellement importante chez Linux, ça me semble une question de neuneu à ne pas poser directement au mainteneur. Comme je le disais, avec tous les experts LInux épris de sécurité sur ce groupe, je m'attendais à obtenir une réponse en moins de deux.
nicolas vigier
On 2007-06-17, Yugo wrote:
J'ai donc décidé d'aller voir où Debian-mutlimedia en est rendu. Voici ce que j'ai trouvé:
Maintenant tu as aussi une version rc1svn20070618. Donc avec le patch du 5 juin dont tu parles.
nicolas vigier
On 2007-06-17, Yugo wrote:
Je suis tout de même surpris que les grands experts ici se soucient aussi peu de sécurité. Évidemment, j'aurais pu poser ma question sur Configuration dans l'espoir de recevoir une réponse de Hugolino ou de personne n est parfait, mais, vu que la suite va sans doute tourner autour des questions de licences, j'étais prêt à me contenter de l'opinion de gens moins compétents.
Ai-je tort de tant m'en faire pour des failles qualifiées de très graves? Après tout, c'est linux...
Ha, c'est des failles qualifiées de très graves ? C'est vrai que tout le monde utilise mplayer, avec la version de debian-multimedia (et pas les packages debian officiels), et l'utilise avec cddb.
Après, rien ne t'empeche de contacter la personne qui fait les packages de debian-multimedia, pour lui demander s'il a bien appliqué le correctif.
On 2007-06-17, Yugo <yugo@noemailaddress.com> wrote:
Je suis tout de même surpris que les grands experts ici se soucient
aussi peu de sécurité. Évidemment, j'aurais pu poser ma question sur
Configuration dans l'espoir de recevoir une réponse de Hugolino ou de
personne n est parfait, mais, vu que la suite va sans doute tourner
autour des questions de licences, j'étais prêt à me contenter de
l'opinion de gens moins compétents.
Ai-je tort de tant m'en faire pour des failles qualifiées de très
graves? Après tout, c'est linux...
Ha, c'est des failles qualifiées de très graves ? C'est vrai que tout
le monde utilise mplayer, avec la version de debian-multimedia (et pas
les packages debian officiels), et l'utilise avec cddb.
Après, rien ne t'empeche de contacter la personne qui fait les packages
de debian-multimedia, pour lui demander s'il a bien appliqué le correctif.
Je suis tout de même surpris que les grands experts ici se soucient aussi peu de sécurité. Évidemment, j'aurais pu poser ma question sur Configuration dans l'espoir de recevoir une réponse de Hugolino ou de personne n est parfait, mais, vu que la suite va sans doute tourner autour des questions de licences, j'étais prêt à me contenter de l'opinion de gens moins compétents.
Ai-je tort de tant m'en faire pour des failles qualifiées de très graves? Après tout, c'est linux...
Ha, c'est des failles qualifiées de très graves ? C'est vrai que tout le monde utilise mplayer, avec la version de debian-multimedia (et pas les packages debian officiels), et l'utilise avec cddb.
Après, rien ne t'empeche de contacter la personne qui fait les packages de debian-multimedia, pour lui demander s'il a bien appliqué le correctif.
nicolas vigier
On 2007-06-18, Yugo wrote:
Thierry B. wrote:
--{ Yugo a plopé ceci: }--
Ai-je tort de tant m'en faire pour des failles qualifiées de très graves? Après tout, c'est linux...
Une réponse de l'équipe mplayer ?
Je pense que leur position serait très claire: les patches sont là. libre à tout le monde de les appliquer... et donc, de partager la responsabilité si jamais il devait y avoir des poursuites.
Pour savoir ce qui se passe, pour Debian, par exemple, c'est à Marillat qu'il faudrait que j'écrive mais, vu que la sécurité est tellement importante chez Linux, ça me semble une question de neuneu à ne pas poser directement au mainteneur. Comme je le disais, avec tous les experts LInux épris de sécurité sur ce groupe, je m'attendais à obtenir une réponse en moins de deux.
debian-multimedia n'a rien à voir avec debian. Debian met à jour ses packages pour les versions supportées, mais c'est pas forcement le cas des gens qui font des packages non officiels comme ceux de debian-multimedia. À toi de te renseigner auprès de ces personnes pour savoir ce qu'ils comptent faire, ou de verifier par toi meme s'ils le font.
On 2007-06-18, Yugo <yugo@noemailaddress.com> wrote:
Thierry B. wrote:
--{ Yugo a plopé ceci: }--
Ai-je tort de tant m'en faire pour des failles qualifiées de très
graves? Après tout, c'est linux...
Une réponse de l'équipe mplayer ?
Je pense que leur position serait très claire: les patches sont là.
libre à tout le monde de les appliquer... et donc, de partager la
responsabilité si jamais il devait y avoir des poursuites.
Pour savoir ce qui se passe, pour Debian, par exemple, c'est à
Marillat qu'il faudrait que j'écrive mais, vu que la sécurité est
tellement importante chez Linux, ça me semble une question de neuneu à
ne pas poser directement au mainteneur. Comme je le disais, avec tous
les experts LInux épris de sécurité sur ce groupe, je m'attendais à
obtenir une réponse en moins de deux.
debian-multimedia n'a rien à voir avec debian. Debian met à jour ses
packages pour les versions supportées, mais c'est pas forcement le cas
des gens qui font des packages non officiels comme ceux de debian-multimedia.
À toi de te renseigner auprès de ces personnes pour savoir ce qu'ils
comptent faire, ou de verifier par toi meme s'ils le font.
Ai-je tort de tant m'en faire pour des failles qualifiées de très graves? Après tout, c'est linux...
Une réponse de l'équipe mplayer ?
Je pense que leur position serait très claire: les patches sont là. libre à tout le monde de les appliquer... et donc, de partager la responsabilité si jamais il devait y avoir des poursuites.
Pour savoir ce qui se passe, pour Debian, par exemple, c'est à Marillat qu'il faudrait que j'écrive mais, vu que la sécurité est tellement importante chez Linux, ça me semble une question de neuneu à ne pas poser directement au mainteneur. Comme je le disais, avec tous les experts LInux épris de sécurité sur ce groupe, je m'attendais à obtenir une réponse en moins de deux.
debian-multimedia n'a rien à voir avec debian. Debian met à jour ses packages pour les versions supportées, mais c'est pas forcement le cas des gens qui font des packages non officiels comme ceux de debian-multimedia. À toi de te renseigner auprès de ces personnes pour savoir ce qu'ils comptent faire, ou de verifier par toi meme s'ils le font.
