A WMF hiba érintheti a Linux/BSD használókat is, ha Wine-t használnak

 ( v | 2006. január 7., szombat - 8:09 )

A nagy visszhangot kiváltó Windows metafile hiba a Linuxon/BSD-ken Wine-t használókat is érinti.George Ou
blogjában olvasható, hogy H D Moore (az eredeti proof-of-concept WMF exploit írója) szerint a hiba a Wine WMF implementációjában is megtalálható, és akár natív shellcode futtatásra is felhasználható.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Amikor megjelenik egy komolyabb bug (pl. Linux kernelben, vagy BSD-ben), akkor az szokott az egyik kérdésem lenni a hozzáértők fele, hogy "szerinted ez vagy ehez hasonló bug lehet a másik rendszerben is?" A válasz meg az szokott lenni, hogy "fene tudja, meg kellene nézni". Mire én "szerinted van valaki, aki megnézi, hogy van-e hasonló bug az ő rendszerében?" - célzok a fejlesztőkre... Válasz: "valaki biztos... de leginkább csak a blackhatek". ;)

miert csak az egyik iranyban "kerdezel a hozzaertok fele"? a microsoftnal dolgozol?

Sajnos úgy néz ki, nem csak a wine fejlesztői nem nézték át rendesen a kódot. A saga folytatódik:

http://www.securityfocus.com/bid/16167/discuss

kiemelnem az idezett blog entry cimet: Linux/BSD still exposed to WMF exploit...
szoval (trey-t idezve): hol a patch?
ja, tudom, mar: linux/bsd eseten ez nem rizikofaktor, meg kulonben is, wine, haha...

> hol a patch?

Hol a szemuveg?

"Marcus Meissner (meissner@suse.de) contacted the Wine development team and sent them a patch to fix this flaw."

ami azt jelenti, hogy ki is van adva hivatalosan?

nem, ez azt jelenti, hogy Meissner ur kiprobalta a sajat gepen, hogy az altala eszkozolt modositas nem okoz nagyobb problemakat, mint az eredeti bug, es eddig 2 nap csuszasban van a wine csapat az ms-hez kepest

Nem ez volt a kerdesed.

De azert valaszolok:

Ez azt jelenti, hogy kommitolva lett a CVS-be 12 oraja.

Revision 1.12, Fri Jan 6 20:52:46 2006 UTC (12 hours, 48 minutes ago) by julliard
Branch: MAIN
CVS Tags: HEAD
Changes since 1.11: +7 -0 lines

Marcus Meissner
gdi: Filter GETSCALINGFACTOR and SETABORTDOC proc in metafile Escapes.

Aki akarja hasznalhatja.

tehat a disztribuciok hivatalosan ~13 oraja ferhetnek hozza a javitashoz es kezdhetik elkesziteni, tesztelni, kiadni a fixeiket.

(javitom magam: 'disztribuciok' helyett helyesebb a 'vendor-ok')

olvasd: nem hogy az osszes, de egyetlen erintett os-re sem elerheto jelenleg a javitas

Igy van. Mi ezzel a problema?

semmi, ez open source :-)

Nehany apro kulonbseget latok azert itt elrejtve, kerlek ezekre valaszolj:

- a windowsos hiba az _osszes windows felhasznalot erintette_ a 98SE-tol a legujabbig

(koztuk engem is, ezert kerdeztem ket nap utan, hogy hol a patch. azt hiszem jogosan, mivel _jogtiszta Windowsok szazai vannak a kezem alatt_)

vs.

- a wine hiba azokat erinti, akik hasznalnak wine-t minusz akik wine cvs-t hasznalnak

(mivel hibas wine-os telepitsbol 0 van a kezem alatt nem kerdezem hol a patch, annak ellenere hogy van)

mennyi lehet szamszeruleg a differencia? par szaz millio user?

- a windows hibara volt _mukodo_ es _terjedo_ exploit mar a bejelentes napjan.

vs

- a wine-nal nem latok ilyet linkelve (nem bizonyitott meg, hogy egyaltalan mukodik es ha igen, akkor milyen formaban)

- a microsoft a hibat hivatalosan tegnap javitotta, azaz a mukodo exploit felbukkanasa utan (dec 28 korul) kb. 9 nappal

vs

- itt meg mukodo exploit sincs, de mar a megjelenes napjan benn a javitas a _hivatalos_ CVS-ben azaz aki akarja mar hasznalhatja

Van azert egy-ket kulonbseg en ugy erzem.

ket bal***** miket ossze nem tud irni:)
ez a Wine bug tegnap lett bejelentve, es tegnap lett javitva.
a vendor-ok wine-jaiban levo bugok (egy agyonpatchelt vendor wine nem biztos, hogy erintett) meg bejelentve sem lettek.
virust/vormot sem latok az interneten, ami kihasznalna ezt a wine hibat.

ha a vendorok ugyanolyan balfaszok lennenek, mint az M$, akkor meg varhatnanak 1.5 hetet, mire kiadjak a javitast. de nem olyan balfaszok:)

> ez a Wine bug tegnap lett bejelentve

Be lett jelentve? Hol? Valaki fingott egyet a blogjaban. :-)

Szeretnek egy hivatalos hibajegyet olvasni arrol, hogy:

- mi ez a hiba
- hogy lehet kihasznalni
- melyik disztro erintett / melyik felhasznalonak mennyire kell tartania

Hol talalok ilyet?

1. innovaljuk bele a robusztusan innovativ oss cuccunkba a windowst bugrol bugra
2. rohogjunk rajta, hogy 1x eves hajmereszto wmf parser van a windowsban
3. miutan az ms elerhetove tette a javitast az osszes erintett termekere, jojjunk ra, hogy talan nalunk is elofordulhat vmi problema
4. ???
5. keszitsunk kimutatast, amiben az oss bugok 78%-at 4 sec alatt, 34%-at 5 sec alatt, es 102%-at 7 sec alatt javitjak

Ugyanaznap jelentették be, h a wine-t is érinti a hiba, mint a windows hibát?

Let the flame begin! :D

De, hogy mondjak is valamit: Az is hülye, aki össze-vissza lovagol a statisztikán a bugokról és javításokról. Lehet nézni és következtetni, de nem etalon. De az is hülye, aki egy kalap alá veszi ezt a két hibát. Első és legfontosabb különbség az, hogy oss nagybetűs figyelmeztetéssel kezdődik és ingyen van.(vendor cuccok nem mindig, de wine pl. igen, ne menjünk bele) Windows esetén pedig nagy pénzeket kell csengetni a szoftverért és/vagy a supportért. Persze ott is van figyelmeztetés, de szerintem látható, hogy a kettő nem ugyanaz a kategória. Innentől az összehasonlítás máris komolytalan. Ahogy a statisztika nagy része sem komoly vitaalap.

>1. innovaljuk bele a robusztusan innovativ oss cuccunkba a windowst bugrol bugra

1. ki nem sz@rja le a wine-t?
2. amiennyire belemasztam ebbe a problemaba, ez API design hiba, nem _implementacios_ ! a M$-osok annyira elb@dasztak, hogy ha a APi doksinak megfeleloen implementalja valaki, akkor lyukas, mint az ementali.
no comment.

A 3. még véletlenül sem szokott fordítva előfordulni, mi?

Es ez erdekli a malicsuszt is? :P Illetve miert csak most merult fel? Ha egy hibat egy termekben csak keson vesznek eszre, mikozben igazabol mar van ra mukodo exploit, akkor mar az nem is baj. lol.

Nem tudom mit pampogtok, egy szoftver ami vegre tenyleg jol emulal:) A bugog ugyanugy erintik. Ez dicseret:)

> a windowsos hiba az _osszes windows felhasznalot erintette_ a 98SE-tol a legujabbig
minusz az unofficial patch hasznalot

> a wine hiba azokat erinti, akik hasznalnak wine-t minusz akik wine cvs-t hasznalnak
Tehat a fentiekbol kiindulva az _osszes_ wine hasznalo embert. A cvs-t ne emlegesd, mert 1 kezemen meg tudom szamolni, hogy hany embert lattam eddig wine-t forgatni, illetve azt hiszem neked a nagy maniad, hogy gyari cuccokat kell hasznalni, mert az a franko

> mennyi lehet szamszeruleg a differencia? par szaz millio user?
Az hogy a wine hosszu tavon munkara nem alkalmas, ezert az emberek inkabb atbootolnak windowsba, vagy vmwareznek, az nehogy mar meg a vegen a wine erenye legyen ;)

> a windows hibara volt _mukodo_ es _terjedo_ exploit mar a bejelentes napjan.
Igy van.

> a wine-nal nem latok ilyet linkelve (nem bizonyitott meg, hogy egyaltalan mukodik es ha igen, akkor milyen formaban)
Sajnalatos teny. Egyebkent nem tudom eszrevetted-e, hogy mostanaban szokas sumakolni a security bugokat opensource korokben is.

> itt meg mukodo exploit sincs
Amit nem hasznalnak az emberek, arra nincs is ertelme irni kulonosebben.

> Van azert egy-ket kulonbseg en ugy erzem.
Igen, mig az egyik bug emberek milliot erinti addig a masik eleg keveset. Ettol jo az opensource? Security bug vs. Security bug. 1:1? Nincs is ezzel semmi baj egyebkent, de az is erezned kell, hogy ez vicces egy kicsit. Foleg akkor amikor habzo szajjal orjongenek az antims majerek, mert az hiszik ez csak az msnel tortenhet meg.

Es hidd el aterzem mekkora szopas volt ez bug a vindozban, mert azert utaztam haza, hogy hajnal 5:30-ig gyogyitsam a szulok gepet, miutan megiscsak adminkent neteztek a natur netezos user meglete ellenere :)

> Valaki fingott egyet a blogjaban. :-)
Szeretnel te ilyen szagosat fingani.
> Hol talalok ilyet?
Sehol, ez az opensource, ez ingyen van, ilyet Te ne akarjal :) (c) (tm) nagyapa

eloljaroban szeretnek elnezest kerni, nyomtunk egy kort kozben pesten az *keaban, igy csak most tudok reagalni (az azota irodott tobbi hozzaszolast meg szandekosan nem olvastam).

- a windowsos hiba az _osszes windows felhasznalot erintette_ a 98SE-tol a legujabbig
a hiba sikeres kihasznalasahoz persze szukseg van ne'mi interakciora a user reszerol (v.o. kattintgatunk esz nelkul mindenre, warezolunk, adminkent /most nyilvan nem 98 es tsairol beszelek, nekik enelkul is van eleg bajuk/ bohockodunk reggeltol estig), ez nyilvan a wine eseten is igaz.

- a wine hiba azokat erinti, akik hasznalnak wine-t minusz akik wine cvs-t hasznalnak
igy van. igy azokat peldaul nem erinti, akik nem hasznalnak wine-t. ez egy okos megallapitas.

mivel _jogtiszta Windowsok szazai vannak a kezem alatt_)
azert remelem rajtad kivul mas is dolgozik a cegnel, nem csak teged hajszolnak egyedul ;-)

mennyi lehet szamszeruleg a differencia? par szaz millio user?
ooo fogalmam sincs, mennyi lehet a differencia, de szerintem egy barmilyen (fokent ilyen szintu) hiba eseten ez indifferens.
fixelni kell es kesz, amilyen gyorsan csak lehet (es igen: csunyagonoszronda microsoft, hogy nem fixelte hamarabb).

- a windows hibara volt _mukodo_ es _terjedo_ exploit mar a bejelentes napjan.
vesd ossze:
"He was kind enough to even include a sample of the updated proof-of-concept[...]" (ld. idezett blogbejegyzes)

- a wine-nal nem latok ilyet linkelve (nem bizonyitott meg, hogy egyaltalan mukodik es ha igen, akkor milyen formaban)
ld. feljebb

- a microsoft a hibat hivatalosan tegnap javitotta, azaz a mukodo exploit felbukkanasa utan (dec 28 korul) kb. 9 nappal
ez mennyiben erdekes ebben az esetben, azon kivul, hogy hamarabb?

- itt meg mukodo exploit sincs, de mar a megjelenes napjan benn a javitas a _hivatalos_ CVS-ben azaz aki akarja mar hasznalhatja
ismet ld. feljebb. persze, hogy hasznalhatja. az unofficial dozer fixet is hasznalhatta, aki akarta.

mindez csak azert erdekes, mert ugye az open source nagy elonye, hogy a hibakat az esetek 99.9999999%-ban meg a hiba felfedezese elott fixelik.

tehat ismet.
open source: nyilt forras, ingyen van, igy jartal, ha bugos, ne akarj jobbat, orul, hogy van egyaltalan.
zart forras: a ***** anyjat a developereknek.
ez szerinted igy megallja a helyet?
az a legnagyobb baj, hogy opensource hype-olok 99%-a szerint igy mukodik az ipar, persze csak akkor, amikor open source stuffban van bug. egyebkent enterspajztcoroirobosztusabb minden, mint barmelyik ms termek, es kulonben is! ez ingyen van!

egyebkent elarulom, hogy minden tisztesseges szoftverer eseten jo penzeket kell csengetni a supportert, legyen az nyilt (ha van egyaltalan) vagy zart forrasu.

az osszehasonlitas pedig annyiban erdekes, hogy ilyenkor kussolnak a opensourcerajongok, mert nem lehet ritualis orjonges kozepette szidni valamit, amihez egyebkent az esetek 99%-ban ugyannnyi kozuk van, mint a linuxhoz/barmi mashoz (semennyi).

1. ki nem sz@rja le a wine-t?
te szoktal elelvezni az osszes olyan kimutatastol, amiben az open source fejlesztok hibajavitasi hajlandosagat bocolgatjak, nem?
egyebkent a nativ shellkod futtatasatol eltekintve tenyleg nincs itt problema.

ha a APi doksinak megfeleloen implementalja valaki, akkor lyukas, mint az ementali.
es ez a superman open source fejlesztoknek nem tunt fel. erdekes modon a hiba javithato volt (utolag), tehat az implementalaskor is javithato lett volna (megelozoen).

> ez nyilvan a wine eseten is igaz.

Jha, szegeny 3000 aktiv wine felhasznalo. Rossz most nekik.

> ooo fogalmam sincs, mennyi lehet a differencia, de szerintem egy barmilyen (fokent ilyen szintu) hiba eseten ez indifferens.

Velemenyed szerint. Velemenyem szerint meg nem az, tekintve, hogy az egyik engem egyaltalan nem erint, igy hidegen hagy.

> fixelni kell es kesz, amilyen gyorsan csak lehet

Mar akkor fixeltek, mielott az egeszrol tudtal volna.

> (es igen: csunyagonoszronda microsoft, hogy nem fixelte hamarabb)

Igen, miert nem fixelte hamarabb. Nyilvan az ember ezt varja. Tok mindegy, hogy open source, vagy closed source. Az ember mar csak ilyen.

> "He was kind enough to even include a sample of the updated proof-of-concept[...]" (ld. idezett blogbejegyzes)

Nem publikus. A Windows-e az elso percben az volt.

>> - a wine-nal nem latok ilyet linkelve (nem bizonyitott meg, hogy egyaltalan mukodik es ha igen, akkor milyen formaban)
> ld. feljebb

Szeretnem ezt azert majd elobb fuggetlen oldalakon (Cert, Secunia, Bugtraq) latni. A Windowsnal az elso perctol mindegyik jelezte. Es a besorolasi szintre is kivancsi vagyok.

> ez mennyiben erdekes ebben az esetben, azon kivul, hogy hamarabb?

Ajanlom figyelmedbe a megjelent publikusan -> javitottak szakaszokat.

> az unofficial dozer fixet is hasznalhatta, aki akarta.

Jah csak van egy apro kis bibi. Mig wine-t nem futtatnak munkahelyek millioin gyakran, addig a Windows-on elegge gyakran, es oda nem szoktak kulso ember altal haxolt fixeket tenni. Plane ha az MS nem is ajanlja.

> mindez csak azert erdekes, mert ugye az open source nagy elonye, hogy a hibakat az esetek 99.9999999%-ban meg a hiba felfedezese elott fixelik

Ezt azzal beszeld meg, akivel ilyenekrol beszelni szoktal.

s/a Windows-on/Windows-t/;

Azért egy os hibáját meg egy másik os-en egy századrangú program hibáját ne hasonlítsd már össze.

Jah csak van egy apro kis bibi. Mig wine-t nem futtatnak munkahelyek millioin gyakran, addig a Windows-on elegge gyakran, es oda nem szoktak kulso ember altal haxolt fixeket tenni. Plane ha az MS nem is ajanlja.
kb. ugyanennyi wine user fog cvs-bol ujraforgatni.

Huh, megint nem tudtam, hogy kinek a neve alatt lévő "Válasz" linkre kattintsak, ezért inkább írok egy új hozzászólást...

Egyik szöveg ami marhára tetszett, hogy a wine bug tegnap lett bejelentve és már aznap javították is! Naja... Vagy fogalmazzunk másképp. Tegnap kapott a fejéhez valaki, hogy esetleg körül kellene nézni a Wine háza táján is? Az már csak hab a tortán, hogy az a valaki még csak nem is Wine fejlesztő volt, hanem egy külső ember, egy security expert... ;)
Amikor megjelenik egy komolyabb bug (pl. Linux kernelben, vagy BSD-ben), akkor az szokott az egyik kérdésem lenni a hozzáértők fele, hogy "szerinted ez vagy ehez hasonló bug lehet a másik rendszerben is?" A válasz meg az szokott lenni, hogy "fene tudja, meg kellene nézni". Mire én "szerinted van valaki, aki megnézi, hogy van-e hasonló bug az ő rendszerében?" - célzok a fejlesztőkre... Válasz: "valaki biztos... de leginkább csak a blackhatek". ;) Na erről ennyit.

A minap posztoltam egy OpenBSD info leak problémát, amely (úgy magunk között megsúgom) érinti a többi BSD-t is. Szerintetek mikor kapnak észhez a többi fejlesztők, hogy náluk is fennáll a probléma? A tapasztalataim szerint maguktól szinte soha. Leginkább csak ha egy külsős ember (felhasználó vagy valamiféle 'security expert') hívja fel rá a figyelmet. A 10+ éves copyinstr/copyoutstr kernel bug (amelyet először az OpenBSD javított szintén) sem lett volna javítva a NetBSD-ben, hogy ha egy user nem kérdez rá a levelező listán, hogy mi a helyzet vele. (Az más kérdés, hogy a NetBSD-sek utána korrektül javították a problémákat, az OpenBSD-sek meg szokás szerint megint balfaszul).

A másik remek hozzászólás, hogy a javítás már a CVS-ben van, bárki használhatja, _HIVATALOS_! Hát persze. Meg is nézem, hogy production rendszernél ahol - ne adj isten - Wine-t használnak komoly feladatokra (van ilyen bátor ember? :), ott majd az admin megpatcheli kézzel a CVS-ből szedett commital a stabil forrást (mertugye a fejlesztői CVS ágat csak nem snapshotolja és használja a devel forrást komoly feladatra). Ha esetleg nem lenne érthető miről beszélek: a commit nincs taggelve a stabil Wine forrásra, csak a fejlesztői ágban van benn. Ez nem számít hivatalos javításnak, mint ahogy az OpenBSD info leak javítása sem, hisz ott sincs a 3.7-hez és 3.8-hoz kiadva. Vagy minden user aktívan figyeli az összes rendszer és alkalmazás CVS commitjait és amelyik a fejlesztői ágban javításnak látszik, azt megpróbálja átemelni a stabil forrásba, ha már a fejlesztők nem teszik meg? Na ne. Arról már ne is beszéljünk, hogy a Wine "javítása" [cvs.winehq.org] legjobb esetben is csak egy workaroundnak nevezhető (bár állítólag az MS megoldása se sokkal jobb). A kérdés tehát az, hogy a Novell és a RedHat mikor adja ki hivatalosan a javított Wine-t a disztribúcióihoz. Az fog egyenértékű javításnak számítani a Microsoft Windows javításokkal szemben.

Másik, hogy nincs vírus/exploit/akármi a Wine bugra. Attól hogy egy alkalmazást vagy egy adott rendszert kevesen használnak (és ezáltal nem számít potenciális céltáblának a támadók részéről) még nem jelenti azt, hogy biztonságos és a felhasználó biztonságban van. Ennyi erővel nyugodtan használjon mindenki BozOS-t [bozos.sourceforge.net] meg GazOS-t [gazos.sourceforge.net], szerintem egyikre se jött még ki exploit vagy vírus... ;)

Szep kis osszefoglalo volt a semmirol. Azt hiszem, hogy most minden Linux es BSD felhasznalo azonnal berottyantott a gatyaba, hogy betamadja a rendszeren nem levo wine-t a winezabalo :-)

Jaja...

Én már uninstallálom is rögtön a winet.

Nehogy a "fake C:" meghajtómat illegális kezekbe adjam :)

El sem tudom kepzelni hogy nalad elofordulhat wine a gepeden, hiszen melysegesen megveted a bughalmaz zartforrasu softwareket.

zartforrasu->windowsos :)

Szep kis osszefoglalo volt a semmirol

Végülis erről szól a hup... A semmiről és az egyértelmű dolgokról vitatkozunk feleslegesen...

Ilyen baromságokat honnan veszel? Az hogy wine van egy gépen abból messze nem következik hogy zárt forrású cucc fog "alatta" futni. Ld: PINs. Már megint ez a k*va általánosítás!

Hát ja! Olyan egyértelmű mint ez mint Linux alatt wine alatt cuccból wmf-et megnyitni. Tutira mindenki így csinálja!

Ha tudnal olvasni, akkor latnad, hogy javitottam. :>
Kulonben is teljesen mindegy, mert az ostoba eleg sok ostoba ember egy kalap ala veszi a oket, mindketto maga az osellenseg. Kozben pedig rajottem, hogy nagyfater azert nyomja a wine-t, mert mindenkepp futtatnia kell a josagos opensource es linuxbarat google ratyipakkot!

>> google ratyipakkot
rotfl, a gugli _mindig_ porig-szejjel-alazza a sajat kocsog elvakult fanjait, pl ezzel a mostani arculcsapassal :)

ize, rajta van a "do no fuckin evil" matrica, igy lehet :-), es ok kulonben is a maltai szeretetszolgalathoz hasonlitanak leginkabb (grossfater utan szabadon).

És mi a tanulság?
Ne használj semmit, aminek bármiféle köze lenne a windowshoz vagy a microsofthoz :)

jol levontad a konkluziot, szaladhatsz treyhez egy narancsert, aztan mars vissza a helyedre.

mond má' ki nyugodtan hogy ez a hiba olyan critical volt linux/BSD alatt hogy ehhez képes Windows alatt nem is volt jelentős a dolog! Vegyük már egy kalap alá a dolgokat me' akkó' jó lesz! ..pff

>egyebkent elarulom, hogy minden tisztesseges szoftverer eseten jo penzeket kell csengetni a supportert, legyen az nyilt (ha van egyaltalan) vagy zart forrasu.

baromsag.
az apache egy tisztesseges szoftver, ingyen van. bizonyitott, piacvezeto, a Microsoft bohockodasanak (IIS) piaci reszesedesenek 4x-esevel bir jelenleg.
ezek mellet az IIS soxor tobb bugot ert meg, mint az apache.

a microsoft koltseghatekonyan keszit szoftvereket, ami azt jelenti, hogy a sok odafigyelest igenylo dolgokat marketing dumakkal helyetesit.

>És mi a tanulság?

ne hasznalj semmit, aminek koze van a koltseghatekony szoftverfejleszteshez.
ha paranoias vagy, akkor ne hasznalj semmit, amirol nem tudsz meggyozodni,hogy nem koltseghatekonyan fejlesztettek. (a zart forrasnal _lehetetlen_ ezt megallapitani kivulrol).

a koltseghatekony szoftverfejlesztes nagyivben szarok mindenre, ami tul koltseges, vagy _elore_ ugy latszik, hogy valoszinutlen.

az opensource programoknal egyetemistak sportot uztek abbol, hogy valoszinusitheto versengesi helyzeteket talaljanak a kernel szalai kozott. egy koltseghhatekony szoftverfejlesztesnel "lelovik" azt, aki ilyennel egyaltalan eloall..

Amikor megláttam ezt az értelmetlen mondatot a szóismétlésekkel, akkor megörültem, hogy nem csak én ittam tegnap éjjel, de aztán látom, hogy te ma délután fél 3-kor szóltál hozzá.

Egyébként tudod, hogy hány féle képpen lehet ezt a wmf problémát kihasználni? Kicsit naív dolog azt hinni, hogy a wmf kiterjesztésű fájlok megnyitásakor történhet csak...

Tudod, a kettőspont-zárójel a végén azt jelenti, hogy nem gondoltam komolyan. Vagyis csak ironizáltam. Azt azért raktam oda, hogy tudjátok, mert ugye fórumban nem lehet hangsúlyozni, így nem hallhattátok, hogy ezt én bizony ironikusan - áhhh, minek is magyarázom...

In article <42.62114@c.hup.hu>, Mészáros András wrote:
>>egyebkent elarulom, hogy minden tisztesseges szoftverer eseten jo penzeket
> kell csengetni a supportert, legyen az nyilt (ha van egyaltalan) vagy zart
^^^^^^^^^^
> forrasu.
>
> baromsag.
>
> az apache egy tisztesseges szoftver, ingyen van.
^^^^^^^^ ^^^^^^^^^^

Te komplett hulye vagy.

--
Gabucino

> egyetemistak sportot uztek abbol
Az nem lehet, mert kizarolag szakallas szakerto urak nezik a kernelt, ezt mar bebizonyitottak :)

> hogy valoszinusitheto versengesi helyzeteket talaljanak a kernel szalai kozott.
Ejj mar megint azok a csunya racecondition problemak. Tekintve, hogy a 2.6.15 changelogjaban egy kis grepet elengedve 24db race condicion fix talalhato, valoszinusitheto, hogy nem csak uztek, hanem uznek most is. Mivel egyesek szerint a raceconditionok 99%-a security problemat is jelent egyben, levonom a kovetkeztetest, miszerint ez is koltseghatekony fejlesztes lehet. Oooo hogy jott ide most a versenyhelyzet? :)

sajnos ez (postolasi) szorgalommal is parosul

No mesélj! Hogyan eteted meg a (nem CVS) wine verziómmal az friss ropogós exploitodat? Ahogy elnézem a legfrissebb progi is amit wine-vel hajtok úgy 2-3 hónapos lehet.
Egyébként mi baj van a délutáni ivászattal? ;)

Nem kell magyarazkodnod. Valahol olvastam, hogy ha nem eteted a trollt, akkor egy ido utan frusztraltta valik, es visszamegy az anyjaek pincejebe online jatekot jatszani, meg pornot nezegetni. Most ugy dontottem, hogy kiprobalom, hogy igy van-e.

> visszamegy az anyjaek pincejebe online jatekot jatszani, meg pornot nezegetni.
Gyermekkori trauma?

> Most ugy dontottem, hogy kiprobalom, hogy igy van-e.
Hogy lesz igy bemelegites az esti hardcore flame partidra? Mindegy, vegulis mindennek megvan a maga elonye.

>> Most ugy dontottem, hogy kiprobalom, hogy igy van-e.
es milyen volt a film?

ettol tobbre is kepes vagy te, csak akarni kell ;-)

Ja. A BSD *****. A linux *****. A windows *****. Akkor tisztelt nagymellenyu csapat, ki mit is hasznal? Mert jovok az exploitjaimmal!!!!

A NAGY FAXOR

> A BSD *****. A linux *****. A windows *****.
Ja

> Akkor tisztelt nagymellenyu csapat, ki mit is hasznal?
DOS-t! Meg *****-t.

> Mert jovok az exploitjaimmal!!!!
A sajatjaiddal? Uhh.

Legalább stilszerűek lennétek és BugOS-t ajánlanátok. :-P

Windows-ban is ráért 6 hónapig a javítás, pedig azért sok pénzt kell fizetni (nem Pistike Windows XP home-jára gondoltam).

Azért érdekelne egy életszerű gondolatkísérlet, melynek során a WMF sebezhetőséget kihasználó kóddal megfertőznek egy Linuxot.... várjatok, kitalálom: Wine alatt futtat valaki IE-t, és egy kifejezetten Wine-re gyártott malitsúz kód lecseréli a linuksz kernelt és onnantól a gép úgy bútol, hogy "loading kern32.dll..." :-))

A tréfáimtól persze nem csökken a dolog komolysága, de azért hagyjuk már ezeket a túlkapásokat...

> ami azt jelenti, hogy ki is van adva hivatalosan?

Először kérdezted a patch-et. Miután kiderült, hogy van, már nem a patch a lényeg, hanem hogy benne van-e már a hivatalos kiadásokban.

Nem kell, hogy frusztrált legyél a Microsoft hibája miatt, és emiatt minden kis fogódzóba belekapaszkodj. Megvolt a hiba, de már elmúlt a legnagyobb vész, nyilván mindenki foltozta a Windowsokat, és majd benne lesz a javítás a Wine következő kiadásaiban is.

Persze tudom, annyira jó vitázni azon, hogy ki ölt meg kit, és én is jókat röhögök azon, ahogy itt alázzátok egymást...

Mindig a wine CVS a leghasznalhatobb. Tehat ha valaki wine-zik (pl en), az mindig a CVS-t forgatja.
Csak par honapja jelent meg az elso beta(!) kiadas. Azelott a disztrok is CVS-bol forgattak.

Szoval kar itt FUD-olni ez nelkul. Aki winezik azok jo resze CVS-bol nyomja, es bugreportol. Ennyi.