https://www.opennet.ru/openforum/vsluhforumID3/70851.html Mikolaj Izdebski обнаружил (http://lists.debian.org/debian-security-announce/2010/msg00161.html) в функции BZ2_decompress целочисленное переполнение, способное привести к выполнению кода злоумышленника или отказу в обслуживании (denial of service) при обработке специально сформированного потока данных для распаковки. <br><br><br>Проблема устранена в вышедшем сегодня релизе сайте bzip2 1.0.6 (http://www.bzip.org), обновления с исправлениями также выпущены в Debian GNU/Linux (http://www.debian.org/security/) (DSA-2112-1). Статус выхода исправлений для других дистрибутивов: Slackware (http://www.slackware.com/security/list.php?l=slackware-security&y=2010), FreeBSD (http://www.vuxml.org/freebsd/), Gentoo (http://www.gentoo.org/security/en/index.xml), Mandriva (http://www.mandriva.com/en/security/advisories?dis=2010.1), openSUSE (http://lists.opensuse.org/opensuse-security-announce/2010-09/), CentOS (http://lists.centos.org/pipermail/centos-announce/2010-September/thread.html), Fedora (https://...<br><br>URL: http://lists.d https://www.opennet.ru/openforum/vsluhforumID3/70851.html#20 Thu, 23 Sep 2010 18:54:31 GMT &gt;&gt;Где же хваленое качество ? <br>&gt;<br>&gt;Что такое - "качество"? (подсказка: http://slovari.yandex.ru/качество/БСЭ/Качество/ ) Вы сами сформировали стереотип - <br><br>Вы плохо знаете русский язык? Словосочетание "хваленое качество" однозначно указывает не на Ваш вариант значения, а на http://slovari.yandex.ru/качество/Лопатников/Качество/ - это quality как "добротность".<br><br>&gt;"если свободное ПО, то оно будет бесплатно и при том не <br>&gt;будет содержать ошибок", а теперь сердитесь на разрушение этого стереотипа?<br><br>"не будет содержать" - это, очевидно, верхний предел, тогда как требуется просто достаточно высокий уровень.<br><br>&gt;is distributed in the hope that it will be useful, but <br>&gt;WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or <br>&gt;FITNESS FOR A PARTICULAR PURPOSE." <br><br>А это вообще стандартная отмазка в любой лицензии, не только в опенсорсе. Она не имеет отношения к декларируемым goals.<br><br>Впрочем, для исходного автора: действительно, Free Software не гарантирует никакого качества, хуже того, э https://www.opennet.ru/openforum/vsluhforumID3/70851.html#19 Tue, 21 Sep 2010 10:09:40 GMT &gt;Запятую куда? <br><br>"Гусары, молчать!"<br><br> https://www.opennet.ru/openforum/vsluhforumID3/70851.html#18 Tue, 21 Sep 2010 07:56:36 GMT не для всех архитектур катит. но в целом верно, патчи уже есть.<br> https://www.opennet.ru/openforum/vsluhforumID3/70851.html#17 Tue, 21 Sep 2010 06:30:23 GMT # fetch http://security.FreeBSD.org/patches/SA-10:08/bzip2.patch<br># fetch http://security.FreeBSD.org/patches/SA-10:08/bzip2.patch.asc<br># cd /usr/src<br># patch &lt; /path/to/bzip2.patch<br># cd /usr/src/lib/libbz2<br># make obj && make depend && make && make install<br> https://www.opennet.ru/openforum/vsluhforumID3/70851.html#16 Tue, 21 Sep 2010 06:27:22 GMT &gt;Запятую<br><br>,<br><br>&gt;куда? https://www.opennet.ru/openforum/vsluhforumID3/70851.html#15 Mon, 20 Sep 2010 23:19:03 GMT ага, оперативно, пошли обновляться.<br> https://www.opennet.ru/openforum/vsluhforumID3/70851.html#14 Mon, 20 Sep 2010 22:17:41 GMT &gt;Где же хваленое качество ? <br><br>В СПО дырку можно запатчить по факту обнаружения. А как мне запатчить скажем древний zlib в какихнить героях меча и магии на которых производитель давно забил, не забыв влинковать проблемный код прямо в блоб? Что еще веселее - этот код потенциально работает с внешним миром по сети - вероятно можно раздолбать через него проблемную либу только так. А потом виндузятники удивляются - "ой, винлокеры". "Ой, спам!". "Ой, порнобаннер на десктопе!И кравивую аську увели!". Ну конечно, когда либу с дырой хрен обновишь - там что угодно будет, блин. Мне вот не нравится когда вместо системы - большая свалка приватных копий либ на которые всем наплевать.<br> https://www.opennet.ru/openforum/vsluhforumID3/70851.html#13 Mon, 20 Sep 2010 22:02:57 GMT Пожалуйста. Вот так навскидку из того что под руку попадалось под хексэдитор. Игра Герои меча и магии. Скажем III и IV. Они есть, в них до сих пор играют (потому что прямых аналогов толком не сделали). Там злиба статически влинкована в бинарь и хрен ее такую заменишь. Какая версия была на момент выпуска какихнить там HMM III - понятно. А что веселее всего - там данные при игре по сети как раз злибом и жмутся. Нормально так, да? :) Ну и понятное дело что на обновление ископаемых версий героев производитель давно забил - они там заняты рубанием бабла, а проблемы негров шерифа не волнуют. А вот так поиграешь в игрушку по сети. И трояна как бонус получишь, например. При том наверняка такая же Ж и в других программах - поскольку у системы нельза попросить актуальную копию zlib.dll которую бы системный апдейтер поддерживал в исправном состоянии, каждый воротит кто на что горазд. И далеко не любой автор программы столь же дотошен в части security как майнтайнеры репов например и неленив для того чтобы следить за все https://www.opennet.ru/openforum/vsluhforumID3/70851.html#12 Mon, 20 Sep 2010 22:02:10 GMT &gt;Где же хваленое качество ? <br><br>Что такое - "качество"? (подсказка: http://slovari.yandex.ru/качество/БСЭ/Качество/ ) Вы сами сформировали стереотип - "если свободное ПО, то оно будет бесплатно и при том не будет содержать ошибок", а теперь сердитесь на разрушение этого стереотипа? Выполните команду <br><br>$bzip --version<br><br>и насладитесь текстом, добавленным по рекомендации FSF ( http://www.gnu.org/copyleft/gpl.html#howto ): "This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE."<br>