Несколько недавно найденных уязвимостей:
- В корректирующих выпусках библиотеки с реализацией протоколов SSL/TLS - OpenSSL 0.9.8s и 1.0.0f (http://openssl.org) устранено 6 уязвимостей (http://openssl.org/news/secadv_20120104.txt), среди которых:
- возможность реализации тайминг атаки (http://www.isg.rhul.ac.uk/~kp/dtls.pdf) по восстановлению части данных, зашифрованных использованием CBC-режима шифрования DTLS (Datagram Transport Layer Security);
- отсутствие корректной очистки буфера для блочного шифра SSL 3.0 может привести к передаче 15 байт неинициализированной памяти;
- возможность совершения DoS-атаки через передачу специально оформленных данных в сертификате RFC 3779 (проявляется только при активации отключенной по умолчанию опции "enable-rfc3779");
- DoS-атака через манипуляции с обновлением соединения Server Gated Cryptograpy (SGC);
- инициирование краха процесса через отправку TLS-клиентом специально оформленных параметров GOST;
- двойное освобожд...URL:
Новость: https://www.opennet.ru/opennews/art.shtml?num=32755
Если в GNU telnetd нашли туже ошибку, что и в более старом BSD telnetd, то в GNU получается скопипастили код и втихую поменяли лицензию ? Насколько я понимаю, код под лицензией BSD так просто в GPL проект не добавить.
РазобралсяПатч к BSD
--- contrib/telnet/libtelnet/encrypt.c (revision 228798)
+++ contrib/telnet/libtelnet/encrypt.c (working copy)
@@ -721,6 +721,9 @@
int dir = kp->dir;
int ret = 0;
+ if (len > MAXKEYLEN)
+ len = MAXKEYLEN;
+
if (!(ep = (*kp->getcrypt)(*kp->modep))) {
if (len == 0)
return;
Патч к GNU
--- a/libtelnet/encrypt.c
+++ b/libtelnet/encrypt.c
@@ -796,6 +796,9 @@ encrypt_keyid (kp, keyid, len)
int dir = kp->dir;
register int ret = 0;
+ if (len > MAXKEYLEN)
+ len = MAXKEYLEN;
+
if (!(ep = (*kp->getcrypt) (*kp->modep)))
{
if (len == 0)Даже номера строк почти совпадают. Короче и там и там копипаст из heimdal, который под лицензией MIT.
Код BSD можно даже закрыть и сделать пиппитиарное ПО на его основе. Чего уж говорить о GPL.Вот наоборот, GPL->BSD, нельзя. Поэтому BSDшники часто страдают болезнью на религиозной почве. Называется она "перепиши GPL-программу под BSD".
закрыть без указания автора нельзя.
Сменить лицензию с BSD на GPL тоже нельзя - можно в GPL проект вставить файлы с лицензией BSD.
и того - на лицо не знание матчасти.
> закрыть без указания автора нельзя.да? пруф. redistribution != derived work.
> Сменить лицензию с BSD на GPL тоже нельзя
да? пруф. можно добавить после BSDL GPL — и опа! программа, фактически, становится GPL-ной.
«и того» — «на лицо» «не знание» как матчасти, так и русского языка.
>> закрыть без указания автора нельзя.
>да? пруф. redistribution != derived work.первый пункт BSD license:
Redistributions of source code must retain the above copyright
notice, this list of conditions and the following disclaimer
> первый пункт BSD license:
> Redistributions of source code must retain the above copyright
> notice, this list of conditions and the following disclaimerи? а я не дам исходника, чо. и не скажу, что использовал. имею право.
> Насколько я понимаю, код под лицензией BSD так просто в GPL проект не добавить.Хреново понимаете. Просто берется и добавляется. Лишь бы требования BSDL были выполнены. А их довольно немного и выполнить их просто.
что за "переполнение кучи в libxml", что за куча?
heap
http://ru.wikipedia.org/wiki/Куча_(нераспределённая_память)
Ради FFmpeg 0.9.1 решил подключить ppa:jon-severinsson/ffmpeg
а то в репозитории 0.7.3
Ты попался на маркетинговую удочку ;-) 0.7.3 сейчас последняя http://libav.org/
> Ты попался на маркетинговую удочку ;-) 0.7.3 сейчас последняя http://libav.org/Вроде как libav неудачный форк, который уже почти заброшен и невостребован.