Ciao,
Il 2022-03-21 11:25 fran...@modula.net ha scritto:
trovo sul Nist che il il pacchetto prima delle correzioni
sovrascriveva arbitrariamente files dei pc connessi da determinati
indirizzi IP con un "heart emoji".
Se non ho capito male, gli IP cui infliggere le sovrascritture erano
quelli
Ciao Luciano.
Infatti scrivevo che sul sw closed è mascherabile come bug.
Questo oltretutto non si guadagna neanche il premio come primo malware
opensource... :)
Il 21/03/2022 11:25, fran...@modula.net ha scritto:
Salve.
trovo sul Nist che il il pacchetto prima delle correzioni
Salve.
trovo sul Nist che il il pacchetto prima delle correzioni sovrascriveva
arbitrariamente files dei pc connessi da determinati indirizzi IP con un
"heart emoji".
Qui c'è anche il codice incriminato:
https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370
Il problema, secondo snyk.io,
On Mon, Mar 21, 2022 at 09:48:12AM +0100, Marco Bertorello wrote:
> Buongiorno lista,
>
> spero di non scatenare inutili polemiche e discussioni circa quello che sta
> succedendo, ma vorrei sapere il vostro punto di vista circa questa vicenda:
>
>
Il 21/03/2022 10:05, Piviul ha scritto:
Scusa Marco chiedo conferma di aver capito bene. Un tizio ha scritto
un programma che esegue azioni diverse in base alla geolocalizzazione
dell'IP. Se ho capito bene, dov'è la violazione della licenza? Il
software rispetta le libertà fondamentali del
Il 21/03/2022 09:48, Marco Bertorello ha scritto:
Formalmente puo' anche non essere una violazione della licenza,
Direi che quasi sicuramente non lo è: il codice rimane open e a
disposizione.
ma e' un pericoloso precedente IMHO e stride con la filosofia
della Software Libero che
Il 21/03/22 09:48, Marco Bertorello ha scritto:
Buongiorno lista,
spero di non scatenare inutili polemiche e discussioni circa quello
che sta succedendo, ma vorrei sapere il vostro punto di vista circa
questa vicenda:
https://github.com/advisories/GHSA-97m3-w2cp-4xx6
Nello specifico, il
Il 21/03/2022 09:59, Leonardo Boselli ha scritto:
se le cose stanno come l'articolo che hai citato sembrerebbe eche la
versione aggiornata abbia rimosso una parte di codice che agiva in
base all'IP della macchina dove veniva eseguito, funzionando
deliberatamente "male" in quei casi. Quindi
se le cose stanno come l'articolo che hai citato sembrerebbe eche la
versione aggiornata abbia rimosso una parte di codice che agiva in base
all'IP della macchina dove veniva eseguito, funzionando deliberatamente
"male" in quei casi. Quindi il rilascio fa esattamente il contrario di
quel che
Buongiorno lista,
spero di non scatenare inutili polemiche e discussioni circa quello che
sta succedendo, ma vorrei sapere il vostro punto di vista circa questa
vicenda:
https://github.com/advisories/GHSA-97m3-w2cp-4xx6
Nello specifico, il pacchetto ha licenza MIT, che mi risulta essere a
10 matches
Mail list logo
