[sisyphus] I: wget-1.13.4, use with caution

ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed

* [sisyphus] I: wget-1.13.4, use with caution
@ 2011-09-25 19:04 Michael Shigorin
  2011-09-26  9:13 ` [sisyphus] I: wget-1.13.4 (изменение поведения из-за CVE) Michael Shigorin
  0 siblings, 1 reply; 2+ messages in thread
From: Michael Shigorin @ 2011-09-25 19:04 UTC (permalink / raw)
  To: sisyphus

	Здравствуйте.
В сизиф отправлен после проверки, оказавшейся IMHO недостаточной,
wget-1.13.4-alt1.  Замеченная уже только что проблема -- с именем
файла, загружаемого по редиректу: например, по этой ссылке оно
получается "download" вместо "pdsh-2.26.tar.bz2", как с 1.12:
http://sourceforge.net/projects/pdsh/files/pdsh/pdsh-2.26/pdsh-2.26.tar.bz2/download

Написал в апстрим.

PS: ещё он попытался собраться с gnutls, но при этом
проигнорировал ca-certificates (отказываясь принимать
сертификаты и sourceforge.net, и bugzilla.altlinux.org).

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 2+ messages in thread

* Re: [sisyphus] I: wget-1.13.4 (изменение поведения из-за CVE)
  2011-09-25 19:04 [sisyphus] I: wget-1.13.4, use with caution Michael Shigorin
@ 2011-09-26  9:13 ` Michael Shigorin
  0 siblings, 0 replies; 2+ messages in thread
From: Michael Shigorin @ 2011-09-26  9:13 UTC (permalink / raw)
  To: sisyphus

On Sun, Sep 25, 2011 at 10:04:06PM +0300, I wrote:
> В сизиф отправлен после проверки, оказавшейся IMHO недостаточной,
> wget-1.13.4-alt1.  Замеченная уже только что проблема -- с именем
> файла, загружаемого по редиректу: например, по этой ссылке оно
> получается "download" вместо "pdsh-2.26.tar.bz2", как с 1.12:

К слову о характеристиках хорошего майнтейнера:
может без помощи апстрима заметить в документации:

from the NEWS file (wget 1.13.3):

** By default, on server redirects, use the original URL to get the
   local file name. Close CVE-2010-2252.  This introduces a
   backward-incompatibility; any script that relies on the old
   behaviour must use --trust-server-names.

См. тж. https://bugzilla.redhat.com/show_bug.cgi?id=602797

-- 
...Vulnerability discovered and reported
by Hank Leininger and Solar Designer...

^ permalink raw reply	[flat|nested] 2+ messages in thread

end of thread, other threads:[~2011-09-26  9:13 UTC | newest]

Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2011-09-25 19:04 [sisyphus] I: wget-1.13.4, use with caution Michael Shigorin
2011-09-26  9:13 ` [sisyphus] I: wget-1.13.4 (изменение поведения из-за CVE) Michael Shigorin

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git