|
не забудьте обновить клиента =)
|
|
| shpac | Date: Вторник, 27.01.2009, 15:43 | Message # 1 |
Адв Мара
Group: Модераторы
Posts: 158
Reputation: 9
Status: Оффлайн (offline)
| 1. tremulous-svn755-upto-971.patch (trem tvjw)
2. tremulous-t971-client.patch (zaplatkA)
3. в usr/shares/games/tremulous/base <-- vms-1.1.t971.pk3 файлы приложил
|
| |
| |
| shpac | Date: Вторник, 27.01.2009, 15:48 | Message # 2 |
|
Адв Мара
Group: Модераторы
Posts: 158
Reputation: 9
Status: Оффлайн (offline)
| да, бекграунд забыл: Description
=========== It has been reported that Tremulous includes a vulnerable version of
the ioQuake3 engine (GLSA 200605-12, CVE-2006-2236). Impact
====== A remote attacker could entice a user to connect to a malicious games
server, possibly resulting in the execution of arbitrary code with the
privileges of the user running the application.
|
| |
| |
| FBat | Date: Вторник, 27.01.2009, 15:59 | Message # 3 |
Мара
Group: Пользователи
Posts: 54
Reputation: 6
Status: Оффлайн (offline)
| Ух, спасибо Шпак!
Roll me, babe!
|
| |
| |
| CoTo | Date: Среда, 28.01.2009, 04:31 | Message # 4 |
Эксперт по говну
Group: Модераторы
Posts: 136
Reputation: 16
Status: Оффлайн (offline)
| а эксплоит есть? шобы потестить например свой клиент на предмет...
|
| |
| |
| ArchimeD | Date: Среда, 28.01.2009, 07:11 | Message # 5 |
шаман
Group: Модераторы
Posts: 61
Reputation: 5
Status: Оффлайн (offline)
| Ну точно ппц - теперь придется с патчами возиться
|
| |
| |
| XaB4uK | Date: Среда, 28.01.2009, 16:57 | Message # 6 |
Адв Мара
Group: Пользователи
Posts: 54
Reputation: 3
Status: Оффлайн (offline)
| Как это ставить? Просто распаковать в корень? (я про первый патч).
И ещё: это на версию 1.1 или 1.0.2?
|
| |
| |
| shpac | Date: Четверг, 29.01.2009, 21:59 | Message # 7 |
|
Адв Мара
Group: Модераторы
Posts: 158
Reputation: 9
Status: Оффлайн (offline)
| эмм..
1) берутся исходники trem 1.1.0
2) на исходники накладываются патчи (в порядке, что описал выше)
3) копируется qvm в base Наверное больше актуально для linux - для винды наверняка уже есть обновлённые сборки
|
| |
| |
| XaB4uK | Date: Пятница, 30.01.2009, 17:57 | Message # 8 |
|
Адв Мара
Group: Пользователи
Posts: 54
Reputation: 3
Status: Оффлайн (offline)
| Quote (shpac) Наверное больше актуально для linux - для винды наверняка уже есть обновлённые сборки
Да, вот тут у нас и вышло непонимание)). Я про винду спрашивал). Где эти сборки качать можно?
|
| |
| |
| shpac | Date: Пятница, 30.01.2009, 21:59 | Message # 9 |
|
Адв Мара
Group: Модераторы
Posts: 158
Reputation: 9
Status: Оффлайн (offline)
| этого к сожалению я не знаю, может кто тут подскажет
|
| |
| |
| NightRain | Date: Суббота, 31.01.2009, 04:51 | Message # 10 |
Адв Бази
Group: Модераторы
Posts: 22
Reputation: 2
Status: Оффлайн (offline)
| Quote (shpac) 1. tremulous-svn755-upto-971.patch (trem tvjw)
Хм... Это просто апдейт до 971 ревизии или он ещё какие-то изменения вносит? Просто если это всего лишь "подъём" ревизии, то очевидно, что проще сразу забрать 971-ую из репозитария и натравить на неё патч "tremulous-t971-client.patch". С 971-ой даже проще по сравнению с 755 (если говорить о сборке под винду): там не надо отдельно собирать и линковать libcurl, библиотечка УЖЕ мирненько почивает в папочке \src\libs\win32.
Edited by NightRain - Суббота, 31.01.2009, 06:54 |
| |
| |
| shpac | Date: Воскресенье, 01.02.2009, 03:28 | Message # 11 |
|
Адв Мара
Group: Модераторы
Posts: 158
Reputation: 9
Status: Оффлайн (offline)
| Я всегда считал что патч - это более удобное средство обновления, т.к. не надо тягать все исходники заново из-за нескольких изменённых строк в коде. Соотв. патченый исходник ничем не отличается от новой версии, из которой этот патч и создавался. (diff) Смею предположить, что патч tremulous-svn755-upto-971.patch - это разница между исходником тремулоус 1.1.0 и 971 билдом. Естественно у кого вообще нет исходников 1.1.0 - проще сразу скачать 971 билд и положить на него патч tremulous-t971-client.patch
|
| |
| |
| NightRain | Date: Воскресенье, 01.02.2009, 05:41 | Message # 12 |
|
Адв Бази
Group: Модераторы
Posts: 22
Reputation: 2
Status: Оффлайн (offline)
| Quote (shpac) Я всегда считал что патч - это более удобное средство обновления, т.к. не надо тягать все исходники заново из-за нескольких изменённых строк в коде.
Собственно с этим утверждением я и не буду спорить... Но я исхожу из чисто практических соображений. Если говорить о "чистых исходниках", то проблема в том, что они (и трем - не исключение) как правило имеют внешние зависимости от других библиотек. Для трема я встречал как минимум две: sdl и curl. И ни патч ни diff не решат проблемы этой зависимости: вам придётся выяснять версию соответствующей библиотеки, собирать её отдельно, а потом линковать. Что бывает весьма геморно: иногда ради маленькой утилитки приходится качать и собирать библиотеку по объёму в десятки раз более крупную. В частности, я с подобными зависимостями столкнулся, когда около месяца назад собирал tjw-бэкпорт под винду. Натравил патч для 755-ой ревизии (который добавил зависимость от curl) и последующий билд благополучно рухнул на этапе линковки с этой библиотечкой. Пришлось выяснять, что это за библиотека и какой версии она должна быть (всё-таки патч 2007-го года, но благо в пропатченых хидерах инфа была соответствующая). Далее собирать, линковать (тоже два типа - либо как отдельную dll, либо включать в exe-шник)... Для обычного пользователя (который знает только три магических фразы: ./configure && make && make install) подобная ситуация - серьёзное препятствие. И только вчера я случайно заметил, что в 971-ой ревизии уже включили предкомпилированный бинарник curl, что автоматически избавляет вас от множества проблем. Обычный текстовый патч вам такой лафы не предоставит. В этом смысле было бы легче всё же брать из svn-репозитария. Но это так - мысли вслух...  Quote (shpac) Смею предположить, что патч tremulous-svn755-upto-971.patch - это разница между исходником тремулоус 1.1.0 и 971 билдом.
Я решил всё-таки это выяснить... Оказалось, разница между 971-ой ревизией и пропатченой 755-ой (upto-971) - достаточно существенна. Поэтому способ с репозитарием может и не прокатить (я не проверял). Пришлось делать гибрид: патчить с использованием tremulous-svn755-upto-971.patch и tremulous-t971-client.patch, а из репозитария забрать libs\win32\libcurl.a (971) и положить в пропатченные исходники. В итоге билд прошёл "на ура". Могу выложить релизный бинарник под винду, если кому нужно, проблем при его работе я пока не заметил (разве что, изменилась юзерская base директория и формат servercache.dat похоже поменяли). Также пришлось одно собственное изменение внести: пофиксил надоевший "sort-by-ping" баг.
Edited by NightRain - Воскресенье, 01.02.2009, 05:47 |
| |
| |
| CATAHA | Date: Воскресенье, 01.02.2009, 15:19 | Message # 13 |
САТАНА
Group: Администраторы
Posts: 218
Reputation: 11
Status: Оффлайн (offline)
| Выложи, конечно, думаю что пригодиться. =)
[Negative+Rejected+Refused!]
|
| |
| |
| NightRain | Date: Четверг, 05.02.2009, 17:52 | Message # 14 |
|
Адв Бази
Group: Модераторы
Posts: 22
Reputation: 2
Status: Оффлайн (offline)
| М-да, можно было не выкладывать свою сборку, т.к. "всё уже урадено до нас":
http://www.trem-servers.com/index.php?page=downloads#client По ссылке есть и соотв. пояснения с директориями и pk3-шками. Кстати, кто-нить в курсе, а в MG-client-е этот секьюрити-баг пофикшен или нет? Ревизия, как минимум, у mg-шки старше - 1117. Как давно появился "tremulous-t971-client.patch"? В описании mg-шного клиента есть такое:
Quote * Additional security checks upon malicious qvms (benmachine) *** QVM Security Patch: Author: benmachine .... ***
A default client, especially one with autodownloads on, is vulnerable to a number of exploits that allow a malicious server to ruin a client's gameplay experience, or even compromise the security of their computer. Several of the known exploits have been rendered impossible in this client.
Это оно?
Edited by NightRain - Четверг, 05.02.2009, 17:55 |
| |
| |
