Pidgin 2.10.1 pro Ubuntu 11.10

[aaaaa]

Ahoj lidi,

netušíte proč stále nevyšel update na Pidgin 2.10.1, když starší verze Pidgin 2.10.0 (libpurple 2.10.0) obsažená v Ubuntu repozitáři má několik bezpečnostních chyb, které opravuje právě verze 2.10.1 http://www.abclinuxu.cz/zpravicky/pidgin-im-client-2.10.1-vsichni-uzivatele-by-meli-aktualizovat
Dokonce i pro Windows už v den vydání, byla dostupná nová verze a pro Ubuntu pořád nic. Oficiální PPA vývojářů pidginu vydalo poslední update před 26 týdny a s verzí 11.10 se snad ani nepočítá. To samé bohužel platí i pro getdeb http://www.getdeb.net/software/Pidgin
Donedávna jsem si myslel, že pro Linux vycházejí bezpečnostní updaty dříve než pro Windows a ono už to asi neplatí  A to nemluvím ani o nových verzích pro Firefox a Thunderbird, které už pro Windows jsou k dispozici a pro Linux stále nic

[jAster_BA]

Si to trošička pletieš. Skús nájisť nejaké PPA alebo si to skompiluj. To, že distribútor dá pozor a distribuuje až vyladený balíček je iba dobre. Ďalšia vec je, že asi si si zvolil zlé distro ak chceš aktuálne balíčky. Ubuntu nedonáša okrem pár app ako je napr. FF noveé verzie, ale iba vydáva bezpečnostné aktualizácie.

[aaaaa]

To se nepletu, já píšu o tom, že Ubuntu doposud nevydalo důležitou bezpečnostní aktualizaci, která už je pro některé distribuce přes týden k dispozici. Pokud vím, tak na oficiální balíčky z jejich repo by měla bezpečnostní aktualizace vždy vyjít. Tím mám na mysli to, že bud' opraví starší verzi pidginu nebo vydají novější verzi, která chybu opraví.
Rozhodně to není jen o záplatě Firefoxu a Thunderbirdu, ale týká se to všech oficiálních balíčků v jejich oficiálních repozitářích. Pochopil bych, kdyby nevyšla pro neoficiální balíčky, které si uživatel doinstaluje z jiných zdrojů.
Hledal jsem dobře, ale oficiální ppa pro pidgin je mrtvé https://launchpad.net/~pidgin-developers/+archive/ppa/
Další věc je, že nevidím důvod kompilovat ze zdrojových kódů, to už si můžu dát rovnou Gentoo. Navíc bych časem už musel jen kompilovat, když by Ubuntu aktualizaci nevydalo. Jak vidím, tak další výsada Linuxu o včasné a rychlé vydání bezpečnostní aktualizace oproti Windows už neplatí. A přidávat nějaká pokoutná PPA, i když vím že existují se mi rozhodně nechce.

[jAster_BA]

http://www.pidgin.im/download/ubuntu/

[aaaaa]

Tenhle odkaz znám, je sice hezký, ale nic neřešící. Odkazuje na mrtvé PPA samotných vývojářů pidginu a druhý balíček tohle PPA pouze přidá do zdrojů. Vývojáři sice vyzývají k aktualizaci, ale balíček nikde nenabízí, jen zdrojáky ke stažení .

[jAster_BA]

Tenhle odkaz znám, je sice hezký, ale nic neřešící. Odkazuje na mrtvé PPA samotných vývojářů pidginu a druhý balíček tohle PPA pouze přidá do zdrojů. Vývojáři sice vyzývají k aktualizaci, ale balíček nikde nenabízí, jen zdrojáky ke stažení .

To znamená, že verzia pre linux je. Ak sa ti nepáči tak si vytvor balíček.

[Rover623]

Prošel jsem ty záplatované bezpečnostní chyby ve verzi 2.10.1 a jsou relevantní pouze pod Windows, v Linuxu se o ně můžeš zajímat jedině pokud pracuješ neustále pod rootem, jinak jsi z obliga.

Jasně, že vývojáři vyzývají k updatu, protože majorita uživatelů má Pidgina pod Widlema a jak známo, pokud na lamu neuděláš "bububu", tak aktualizaci neprovede. Ten update na Pidgina vyjde, ale protože pro uživatele Linuxu je to spíš pro "dobrý" pocit, tak se s ním ani moc nepospíchá. Navíc je nutné brát v potaz, že Pidgin má i nějaké závislosti v systému, které nejsou řešeny v PPA a pokud v aktuálním Ubuntu nejsou k dispozici balíky s požadovanou verzí, tak smůla

[aaaaa]

Jak jsem psal výše, na Ubuntu nehodlám kompilovat. To už si člověk nemusí instalovat Ubuntu. To že bezpečnostní chyby ve verzi 2.10.1 a jsou relevantní pouze pod Windows, není pravda. Je to stejné na všech platformách, pokud si člověk nevypne ve Windows User Account Control (UAC) neměl by být problém.

[jAster_BA]

Dobre máš svoju pravdu.
Changelog:

Kód: [Vybrat]

Pidgin and Finch: The Pimpin' Penguin IM Clients That're Good for the Soul

version 2.10.1 (12/06/2011):
Finch:
* Fix compilation on OpenBSD.

AIM and ICQ:
* Fix remotely-triggerable crashes by validating strings in a few
  messages related to buddy list management.  Thanks to Evgeny Boger
  for reporting this!  (#14682)

Bonjour:
* IPv6 fixes (Linus Lüssing)

Gadu-Gadu:
* Fix problems linking against GnuTLS. (#14544)

IRC:
* Fix a memory leak when admitting UTF-8 text with a non-UTF-8 primary
  encoding.  (#14700)

Jabber:
* Fix crashes and memory leaks when receiving malformed voice
  and video requests.  Thanks to Thijs Alkemade for reporting this!

Sametime:
* Separate "username" and "server" when adding new Sametime accounts.
  (#14608)
* Fix compilation in Visual C++. (#14608)

SILC:
* Fix CVE-2011-3594, by UTF-8 validating incoming messages before
  passing them to glib or libpurple.  Identified by Diego Bauche
  Madero from IOActive.  (#14636)

Yahoo!:
* Fetch buddy icons in some cases where we previously weren't. (#13050)

Windows-Specific Changes:
* Fix compilation
Aké používaš Ubuntu? Ja mám v repos 2.10. Na vytvorenie balíčku potrebujem kopu závislostí, čiže nehodlám tráviť čas vytváraním pre mňa bezvýznamného balíčku.
Edit:http://pkgs.org/debian-wheezy/debian-main-i386/pidgin_2.10.1-1_i386.deb.html

[aaaaa]

O tom balíčku pro Debian vím, ale nechci to míchat. Přeci jen, jsou to dvě odlišné distribuce a nechci si rozbít vyladěný systém. I když možná ho vývojáři Ubuntu, jen překopírují do jejich repa 

[pivik]

Tak ty nechceš míchat, nechceš kompilovat, nechceš prostě dělat nic, jen rejpat a plivat na distribuci, kterou jsi si vybral... Zkusil jsi někdy něco udělat pro to, aby ta distribuce byla použitelná, tak jak je? Vůbec nemáš ponětí, co to obnáší práce. Kolik jsi té práce zaplatil? Že ti hamba neni...

[aaaaa]

Co to tady píšeš za blbosti? Ano nechci kompilovat, protože to bych si mohl kompilovat všechno od pidgina, firefox, thunderbird a další programy a to není můj cíl. Distribuci mám použitelnou, jen jsem se zde zeptal na bezpečností aktualizaci, kterou vývojáři pidginu ani ubuntu zatím nevydali a věřím že ji jako ostatní vydají. Samozřejmě že vím co to všechno obnáší práce, ale to obnáší údržba i vývoj každé distribuce. A míchat rozdílné distribuce, kde si to viděl, i když Ubuntu z Debianu vychází, tak se ve spoustě věcí liší...

[jAster_BA]

Jediné čo by mohol byť problém, sú mená závislostí, takže ti to v podstate môže byť jedno, či použiješ to či ono, vnútri je to isté. Mimo iné kto by robil DoS útok práve na teba cez pidgin? Pokial viem, jediné čo to môže spôsobiť je, že sa app vypne.