Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
net-www/netscape-flash mascherato ?!?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian)
View previous topic :: View next topic  
Author Message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Mon Jul 16, 2007 8:53 am    Post subject: net-www/netscape-flash mascherato ?!? Reply with quote

Questa mattina bello come il sole controllo quali pacchetti ci sarebbero da aggiornare e ...
... hanno mascherato net-www/netscape-flash !!!
Mi fiondo a leggermi il changelog e trovo un enigmatico
changelog wrote:
14 Jul 2007; <tester@gentoo.org> netscape-flash-9.0.48.0.ebuild:
Remove file that no longer exists

A questo punto voi come vi comportate ?
Smascherarlo in package.unmask sembra inutile, se deve essere rimosso ci sarà anche un motivo ma non capisco quale ...

P.S. mentre scrivevo ho trovato una plausibile motivazione, sembra che adobe abbia annunciato la presenza di una falla critica nelle versioni 9,8 e 7 ma la cosa strana è che adobe consiglia di installare la 9.0.48.0 e quindi torno a non capire perchè risulta mascherata ...

P.S.2 sembra che http://fpdownload.macromedia.com (da cui l'ebuild dovrebbe scaricare i file) non sia raggiungibile ...
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
crisandbea
Veteran
Veteran


Joined: 03 Jul 2005
Posts: 1778
Location: BOSCO (SA) ... ma domiciliato a Bologna....

PostPosted: Mon Jul 16, 2007 9:02 am    Post subject: Reply with quote

hai provato da : qui

comunque utilizzandolo in
Code:
/etc/portage/package.unmask
come hai già detto tu, non dà nessun tipo di problema.

ciauz
Back to top
View user's profile Send private message
.:deadhead:.
Advocate
Advocate


Joined: 25 Nov 2003
Posts: 2963
Location: Milano, Italy

PostPosted: Mon Jul 16, 2007 9:02 am    Post subject: Reply with quote

Che strano: qui nn ne parlano :|

http://www.gentoo.org/security/en/glsa/index.xml
_________________
Proudly member of the Gentoo Documentation Project: the Italian Conspiracy ! ;)
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Mon Jul 16, 2007 9:11 am    Post subject: Reply with quote

.:deadhead:. wrote:
Che strano: qui nn ne parlano :|

http://www.gentoo.org/security/en/glsa/index.xml

Forse non ne parlano perchè effettivamente le versioni presenti in portage non sono affette da questa vulnerabilità ...

Non capisco cmq il senso del mascheramento :?

Smascherarlo è funzionale senza dubbio ma mi chiedo quanto sia sensato, se è stato mascherato presumo ci sia un motivo e ignorare completamente una cosa così "grave" da far ricorrere al mascheramento di un pacchetto stabile e largamente utilizzato non mi pare una scelta molto ponderata.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
noice
Guru
Guru


Joined: 05 Dec 2005
Posts: 473
Location: italia, Ischia

PostPosted: Mon Jul 16, 2007 9:16 am    Post subject: Reply with quote

spero di non sbagliarmi:
https://bugs.gentoo.org/show_bug.cgi?id=185044
_________________
Noice

when you post remove comments
Code:
grep -vh '^[[:space:]]*\(#\|$\)' "$@"
Back to top
View user's profile Send private message
Scen
Retired Dev
Retired Dev


Joined: 29 Jul 2003
Posts: 2470
Location: Padova, Italy

PostPosted: Mon Jul 16, 2007 9:28 am    Post subject: Reply with quote

Mah... sembra che il tarball della 9.0.48 sia "cambiato", ovvero il Manifest dell'ebuild di qualche giorno fa non coincide più con quello attuale, pertanto hanno deciso di mascherarlo.

Axxo, un bel casino 8O
_________________
I was born in a deep forest/I wish I could live here all my life/I am made from stones and roots/My home, these woods and roads
All my life I loved this sound/Of the woods all around/Eagles flies where the winds blows free
Journey is my destiny
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Mon Jul 16, 2007 9:34 am    Post subject: Reply with quote

Io per il momento l'ho rimosso, magari sono solo paranoico ma preferisco così fino a quando non si chiarisce bene la situazione.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
crisandbea
Veteran
Veteran


Joined: 03 Jul 2005
Posts: 1778
Location: BOSCO (SA) ... ma domiciliato a Bologna....

PostPosted: Mon Jul 16, 2007 9:38 am    Post subject: Reply with quote

Kernel78 wrote:
Io per il momento l'ho rimosso, magari sono solo paranoico ma preferisco così fino a quando non si chiarisce bene la situazione.

e come farai con i siti che usano flash-9???

ciauz
Back to top
View user's profile Send private message
Scen
Retired Dev
Retired Dev


Joined: 29 Jul 2003
Posts: 2470
Location: Padova, Italy

PostPosted: Mon Jul 16, 2007 9:43 am    Post subject: Reply with quote

Boicott FLASH :twisted: (una piaga dell'umanità e del web :evil: )
_________________
I was born in a deep forest/I wish I could live here all my life/I am made from stones and roots/My home, these woods and roads
All my life I loved this sound/Of the woods all around/Eagles flies where the winds blows free
Journey is my destiny
Back to top
View user's profile Send private message
crisandbea
Veteran
Veteran


Joined: 03 Jul 2005
Posts: 1778
Location: BOSCO (SA) ... ma domiciliato a Bologna....

PostPosted: Mon Jul 16, 2007 9:45 am    Post subject: Reply with quote

Scen wrote:
Boicott FLASH :twisted: (una piaga dell'umanità e del web :evil: )


Lo farei anche io, il problema è come? :lol:
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Mon Jul 16, 2007 9:47 am    Post subject: Reply with quote

crisandbea wrote:
Kernel78 wrote:
Io per il momento l'ho rimosso, magari sono solo paranoico ma preferisco così fino a quando non si chiarisce bene la situazione.

e come farai con i siti che usano flash-9???

ciauz

o mio dio !!! è vero ci sono dei siti che obbligano all'uso di flash !!!
Va be, faro a meno di quei siti, dubito che questo porterà a gravi ripercussioni nella mia vita :wink:

Tu invece ti limiti a ignorare il motivo per cui il file è cambiato e per cui è stato mascherato e vai avanti facendo finta che non sia successo nulla ?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
crisandbea
Veteran
Veteran


Joined: 03 Jul 2005
Posts: 1778
Location: BOSCO (SA) ... ma domiciliato a Bologna....

PostPosted: Mon Jul 16, 2007 9:52 am    Post subject: Reply with quote

Kernel78 wrote:
crisandbea wrote:
Kernel78 wrote:
Io per il momento l'ho rimosso, magari sono solo paranoico ma preferisco così fino a quando non si chiarisce bene la situazione.

e come farai con i siti che usano flash-9???

ciauz

o mio dio !!! è vero ci sono dei siti che obbligano all'uso di flash !!!
Va be, faro a meno di quei siti, dubito che questo porterà a gravi ripercussioni nella mia vita :wink:

Tu invece ti limiti a ignorare il motivo per cui il file è cambiato e per cui è stato mascherato e vai avanti facendo finta che non sia successo nulla ?


non è questione di andare avanti facendo finta di.... , il problema è che a me per vedere alcuni siti, e non posso farne a meno serve flash9.... :cry:
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Mon Jul 16, 2007 9:58 am    Post subject: Reply with quote

crisandbea wrote:
non è questione di andare avanti facendo finta di.... , il problema è che a me per vedere alcuni siti, e non posso farne a meno serve flash9.... :cry:

In un caso come questo se io avessi necessità di vedere alcuni siti mi comporterei cmq come se non esistesse un player per linux, continuare ad utilizzare flash dopo queste "anomalie" è quantomeno imprudente.

Giusto per curiosità quali sono questi siti che ti servono ?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
Scen
Retired Dev
Retired Dev


Joined: 29 Jul 2003
Posts: 2470
Location: Padova, Italy

PostPosted: Mon Jul 16, 2007 10:02 am    Post subject: Reply with quote

In alternativa ci sarebbe
Code:

* net-www/gnash
     Available versions:  ~0.8.0 !9999
     Homepage:            http://www.gnu.org/software/gnash
     Description:         Gnash is a GNU Flash movie player that supports many SWF v7 features

Nno l'ho mai provato personalmente, ma essendo ~arch vuol dire che qualcosa riesce a visualizzare.... :P :wink:
_________________
I was born in a deep forest/I wish I could live here all my life/I am made from stones and roots/My home, these woods and roads
All my life I loved this sound/Of the woods all around/Eagles flies where the winds blows free
Journey is my destiny
Back to top
View user's profile Send private message
crisandbea
Veteran
Veteran


Joined: 03 Jul 2005
Posts: 1778
Location: BOSCO (SA) ... ma domiciliato a Bologna....

PostPosted: Mon Jul 16, 2007 10:04 am    Post subject: Reply with quote

Kernel78 wrote:
crisandbea wrote:
non è questione di andare avanti facendo finta di.... , il problema è che a me per vedere alcuni siti, e non posso farne a meno serve flash9.... :cry:

In un caso come questo se io avessi necessità di vedere alcuni siti mi comporterei cmq come se non esistesse un player per linux, continuare ad utilizzare flash dopo queste "anomalie" è quantomeno imprudente.

Giusto per curiosità quali sono questi siti che ti servono ?


quello della gazzetta dello sport, ed altri attinenti, e lo stesso youtube, lo sò che dirai, vabbè ma puoi volendo farne a meno, ma perchè dovrei farne a meno?non esiste un'alternativa per guardarli comunque?

ciauz
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Mon Jul 16, 2007 11:08 am    Post subject: Reply with quote

crisandbea wrote:
quello della gazzetta dello sport, ed altri attinenti, e lo stesso youtube, lo sò che dirai, vabbè ma puoi volendo farne a meno, ma perchè dovrei farne a meno?non esiste un'alternativa per guardarli comunque?

Ok, pensavo ci fossero dei siti che ti servivano per lavoro ...
imho dovresti farne a meno perchè non esiste attualmente un sw stabile o in testing per visitarli.

Un'alternativa free è gnash ma sul sito dicono che supporta alcune funzionalità di flash 7 (quindi direi che flash 9 è oltre alle sue capacità)
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4486
Location: Somewere around the world

PostPosted: Mon Jul 16, 2007 11:22 am    Post subject: Reply with quote

Non capisco il motivo di tutta questa critica... il fatto che un software non sia più in portage (o sia hardmasked) non significa che tu non possa utilizzarlo.
Se il software in questione crea problemi di sicurezza o di altro tipo i devel fanno bene a toglierlo da portage, ma se ti serve davvero puoi andare sul sito di adobe e scaricartelo... installarlo è velocissimo. Basta copiare in ~/.mozilla/plugins/ i seguenti files:
Code:
flashplayer.xpt
libflashplayer.so

Non hai davvero bisogno di portage per questo.

P.S. Ci sono un sacco di software che, per ovvi motivi, non sono in portage... una delle cause principali è che il numero (finito) di devel che abbiamo non possono occuparsi di tutti i programmi che si possono reperire in rete. Questo non significa che tali programmi non possano essere utilizzati su gentoo, solo che vanno installati a mano (seguendo probabilmente la guida di installazione fornita insieme al programma).
E' un processo a volte più lungo (ma a volte più corto... esistono anche programmi forniti come binari) ma dovrebbe portare allo stesso risultato.
_________________
Any man's death diminishes me, because I am involved in mankind, and therefore never send to know for whom the bell tolls; it tolls for thee
-John Donne
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Mon Jul 16, 2007 11:31 am    Post subject: Reply with quote

Cazzantonio wrote:
Non capisco il motivo di tutta questa critica... il fatto che un software non sia più in portage (o sia hardmasked) non significa che tu non possa utilizzarlo.
Se il software in questione crea problemi di sicurezza o di altro tipo i devel fanno bene a toglierlo da portage, ma se ti serve davvero puoi andare sul sito di adobe e scaricartelo... installarlo è velocissimo. Basta copiare in ~/.mozilla/plugins/ i seguenti files:
Code:
flashplayer.xpt
libflashplayer.so

Non hai davvero bisogno di portage per questo.

Infatti la mia critica non era assolutamente sulle possibilità tecniche di installazione ma su quanto possa essere una scelta effettuata con cognizione di causa o più in linea con l'utonto windows.

Il pacchetto è stato impostato come hard masked ? si
Questo cosa comporta (oltre a dover fare due passi in più per installarlo) ? Boh.
Ok allora lo installo lo stesso ...

Magari ho degli standard troppo elevati ma prima capisco per bene il motivo per cui è stato mascherato e poi posso valutare se reinstallarlo o meno. Ignorare il fatto personalmente mi ricorda l'atteggiamento del utonto che prima installa e poi si chiede se converrebbe usare l'antivirus.

Io nel dubbio preferisco ragionare e fino a quando non ho delle informazioni concrete preferisco astenermi.

Poi è ovvio che se uno se ne frega ci sono più modi per installarlo velocemente ma questo non è in discussione.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
.:deadhead:.
Advocate
Advocate


Joined: 25 Nov 2003
Posts: 2963
Location: Milano, Italy

PostPosted: Mon Jul 16, 2007 7:26 pm    Post subject: Reply with quote

concordo con noice : https://bugs.gentoo.org/show_bug.cgi?id=185044

La chiave di tutto è in bugzilla. Probabilmente è stata fatta qualche cappellata nella messa in upstream di qualche file e accortisi della frittata, hanno risolto maskando tutto e facendo tabula rasa...
_________________
Proudly member of the Gentoo Documentation Project: the Italian Conspiracy ! ;)
Back to top
View user's profile Send private message
otaku
Guru
Guru


Joined: 16 Dec 2004
Posts: 428
Location: Rho (MI)

PostPosted: Mon Jul 16, 2007 8:50 pm    Post subject: Reply with quote

Code:
# Olivier Crête <tester@gentoo.org> (14 Jul 1007)
# We can't mirror. Different upstream mirrors have different versions# and the tarballs are unversioned
# And the older versions are affected by critical remote security vulnerability
# See Gentoo bug #185141
net-www/netscape-flash

il bug in questione riporta al seguente link: http://secunia.com/advisories/26027/.

Ovvero Adobe Flash Player Multiple Vulnerabilities come recita il titolo della segnalazione;
a quanto ne ho capito è l'ennesima falla che consente di far lanciare "arbitray code" al solito utente malizioso di turno. :lol:

Che flash sia un cancro non c'è dubbio, ma è il minimo denominatore comune per tutti gli OS più diffusi per gustarsi un po' multimedialità fine a se stessa :P;
penso che basti non visitare siti h4ck3rz, w4r3z, su0n3r13 gr4t1z, l0gh1 3 sf0nd1 s3mpr3 gr4t1z, per stare sufficientemente sicuri, tutto questo ovviamente IMHO :)


Concludo postando il succo della pagina di secunia:
Quote:
Solution:
Apply updates.

_________________
Ventiquattr'ore al giorno in preda a una follia contorta...
Back to top
View user's profile Send private message
riverdragon
Veteran
Veteran


Joined: 14 Sep 2006
Posts: 1269
Location: Verona

PostPosted: Tue Jul 17, 2007 8:11 am    Post subject: Reply with quote

Kernel78 wrote:
Magari ho degli standard troppo elevati ma prima capisco per bene il motivo per cui è stato mascherato e poi posso valutare se reinstallarlo o meno. Ignorare il fatto personalmente mi ricorda l'atteggiamento del utonto che prima installa e poi si chiede se converrebbe usare l'antivirus.

Io nel dubbio preferisco ragionare e fino a quando non ho delle informazioni concrete preferisco astenermi.

Disinstallare un software che hai volutamente installato non è proprio "astenersi" :wink:
Comunque il problema, come è stato detto, è che con l'ebuild aggiornato ci si potrebbe trovare a scaricare un tarball vecchio a causa della differenza di versione (non segnalata) tra i mirror. Io ho smascherato l'ebuild dopo aver dato un'occhiata a bugzilla e non mi sono posto particolari problemi.
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Tue Jul 17, 2007 8:14 am    Post subject: Reply with quote

riverdragon wrote:
Disinstallare un software che hai volutamente installato non è proprio "astenersi" :wink:

Mi astengo dall'usarlo :wink:
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
Jack.Gmi
n00b
n00b


Joined: 07 Mar 2007
Posts: 2

PostPosted: Tue Jul 17, 2007 12:02 pm    Post subject: Reply with quote

Alla fine, vedendo quanto scritto nel package.mask o lo si installa a mano o si fa l'unmask dell'ebuild e si verifica manualmente che venga installata una versione sufficientemente aggiornamta da non contenere i bugs di sicurizza.
Back to top
View user's profile Send private message
Scen
Retired Dev
Retired Dev


Joined: 29 Jul 2003
Posts: 2470
Location: Padova, Italy

PostPosted: Fri Jul 20, 2007 8:07 am    Post subject: Reply with quote

Problema risolto, a quanto pare :)

https://bugs.gentoo.org/show_bug.cgi?id=185141#c27
http://sources.gentoo.org/viewcvs.py/*checkout*/gentoo-x86/net-www/netscape-flash/ChangeLog
_________________
I was born in a deep forest/I wish I could live here all my life/I am made from stones and roots/My home, these woods and roads
All my life I loved this sound/Of the woods all around/Eagles flies where the winds blows free
Journey is my destiny
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum