Dobry wieczór, Nowa wersja rc2 względem rc1 zawiera głównie poprawki bezpieczeństwa. Po pierwsze, zabezpieczamy się przed fałszywym hubem, który mógłby zwrócić adres serwera w dowolnej domenie, co pozwala na ataki man-in-the-middle nawet przy weryfikowanych certyfikatach serwera. Po drugie, wersja zawiera poprawkę błędu bezpieczeństwa tak jak wersja 1.11.3, której opis pozwolę sobie zacytować:
> Niestety znaleziono błąd bezpieczeństwa w libgadu, który przy pomocy > odpowiednio spreparowanej odpowiedzi serwera pozwala nadpisać pamięć i > wykonać dowolny kod. Nawet jeśli założmy, że serwer nie będzie chciał > nam zrobić krzywy, jest wiele sposobów, żeby się pod niego podszyć, > zwłaszcza mając dostęp do sieci lokalnej klienta. Aktualizacja jest > wysoce zalecana. Szczegóły dotyczące błędu można znaleźć na stronie > http://vrt-blog.snort.org/2014/01/vrt-2013-1001-cve-2013-6487-buffer.html > > Poprawka pochodzi z repozytorium Pidgina, gdzie błąd został pierwotnie > znaleziony. Przy okazji, do tej wersji zostały wrzucone poprawki > drobnych, nieszkodliwych błędów znalezionych przez Coverity, też w > Pidginie. Kwiaty, bombonierki i podziękowania można (w zasadzie > należy) słać do Tomka Wasilczyka. Szczegóły pod adresem http://libgadu.net/releases/1.12.0-rc2.html Pozdr, Wojtek _______________________________________________ libgadu-devel mailing list libgadu-devel@lists.ziew.org http://lists.ziew.org/mailman/listinfo/libgadu-devel
