[LUG.ro] Fwd: AFIP Viola GPL
"Sebastián D. Criado"
sebastian.criado en gmail.com
Mar Sep 15 17:40:41 ART 2009
El 15/09/09 16:24, Mario Oroz escribió:
> Fabian Ezequiel Gallina escribió:
>> Debajo un mail que viene desde la lista de PyAr.
>
>> Yo realmente todavía no puedo creerlo.
El Software más precisamente es el gzip. Me lo comento hace unos días
Emiliano Gavilan que se puso a ver los strings-.
Según los strings:
%s: %s already has %s suffix -- unchanged
%s: %s: unknown method %d -- get newer version of gzip
%s: %s is encrypted -- get newer version of gzip
%s: %s is a a multi-part gzip file -- get newer version of gzip
%s: %s has flags 0x%x -- get newer version of gzip
%s: %s: part number %u
%s: %s: extra field of %u bytes ignored
corrupted input -- file name too large
%s: %s: not in gzip format
Jean-Loup es el autor atrás de todo lo relacionado con la librería zlib
(info-zip, zip, unzip, gzip, zlib)
Según el help del gzip que puede bajarse desde
http://www.gzip.org/gzip124xN.zip (para win):
Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
along with this program; if not, write to the Free Software
You should have received a copy of the GNU General Public License
GNU General Public License for more details.
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
but WITHOUT ANY WARRANTY; without even the implied warranty of
This program is distributed in the hope that it will be useful,
any later version.
the Free Software Foundation; either version 2, or (at your option)
it under the terms of the GNU General Public License as published by
This program is free software; you can redistribute it and/or modify
Copyright (C) 1992-1993 Jean-loup Gailly
$ gzip --help
Usage: gzip [OPTION]... [FILE]...
Compress or uncompress FILEs (by default, compress FILES in-place).
Mandatory arguments to long options are mandatory for short options too.
-c, --stdout write on standard output, keep original files unchanged
-d, --decompress decompress
-f, --force force overwrite of output file and compress links
-h, --help give this help
-l, --list list compressed file contents
-L, --license display software license
-n, --no-name do not save or restore the original name and time stamp
-N, --name save or restore the original name and time stamp
-q, --quiet suppress all warnings
-r, --recursive operate recursively on directories
-S, --suffix=SUF use suffix SUF on compressed files
-t, --test test compressed file integrity
-v, --verbose verbose mode
-V, --version display version number
-1, --fast compress faster
-9, --best compress better
With no FILE, or when FILE is -, read standard input.
Report bugs to <bug-gzip en gnu.org>.
$ gzip --version
gzip 1.3.12
Copyright (C) 2007 Free Software Foundation, Inc.
Copyright (C) 1993 Jean-loup Gailly.
This is free software. You may redistribute copies of it under the terms of
the GNU General Public License <http://www.gnu.org/licenses/gpl.html>.
There is NO WARRANTY, to the extent permitted by law.
Written by Jean-loup Gailly.
Si comparamos los strings de la DLL vemos:
Copyright (C) 1992-1993 Jean-loup Gailly
This program is free software; you can redistribute it and/or modify
it under the terms of the GNU General Public License as published by
the Free Software Foundation; either version 2, or (at your option)
any later version.
This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
GNU General Public License for more details.
You should have received a copy of the GNU General Public License
along with this program; if not, write to the Free Software
Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
usage: %s [-%scdfhlLnN%stvV19] [-S suffix] [file ...]
-a --ascii ascii text; convert end-of-lines using local conventions
-c --stdout write on standard output, keep original files unchanged
-d --decompress decompress
-f --force force overwrite of output file and compress links
-h --help give this help
-l --list list compressed file contents
-L --license display software license
-n --no-name do not save or restore the original name and time stamp
-N --name save or restore the original name and time stamp
-q --quiet suppress all warnings
-S .suf --suffix .suf use suffix .suf on compressed files
-t --test test compressed file integrity
-v --verbose verbose mode
-V --version display version number
-1 --fast compress faster
-9 --best compress better
file... files to (de)compress. If none given, use standard input.
%s %s (%s)
1.2.4
18 Aug 93
Con lo que podríamos concluir que se está usando el gzip versión es el
gzip 1.2.4
Las cadenas no son exactamente iguales por que el gzip distribuído por
la afip esta compilado con borland C++ mientras que el de gzip.org con
mingw.
pero son iguales (salvo el orden, claro)
%s %s (%s)
1.2.4 Win32
A todo esto agrego que es una versión vulnerable según el propio sitio
de gzip. [1] con lo cual, hasta están comprometiendo la seguridad de los
usuarios que bajan el aplicativo.
[1] http://www.gzip.org/
Important security patch
gzip 1.2.4 may crash when an input file name is too long (over 1020
characters). The buffer overflow may be exploited if gzip is run by a
server such as an ftp server. Some ftp servers allow compression and
decompression on the fly and are thus vulnerable. See technical details
here. This patch to gzip 1.2.4 fixes the problem. The beta version 1.3.3
already includes a sufficient patch; use this version if you have to
handle files larger than 2 GB. A new official version of gzip will be
released soon.
[...]
>
> Hola Fabian, yo tambien estoy en PyAr; pero de leyente nomas! por ahora :).
>
> Me indigne mucho, lo iba a comentar aquí pero, incluso hasta eso me pareció en
> vano, ya que si el mismisimo propietario intelectual del soft no puede hacer
> nada por escasos recursos, y para hacerlo por medio de FSF también debes contar
> con tiempo y recursos... como se hace frente a esto, el pez grande se come al
> chico y así in eternum? Que bronca me comí (bueno, ahora la comparto), encima la
> AFIP!
La licencia es un copyright, no se olviden de eso y el copyright es un
contrato entre partes.
El único que puede actuar es el perjudicado.
De allí que lo que se hace es ceder el copyright a la FSF para que ella
pueda actuar en cualquier parte del mundo. Esto es simple y llanamente
por costos. Sale muy caro un abogado en la otra punta del globo (creo no
puede venir un abogado extranjero aquí a hacer quilombo).
Saludos.-
> Habrá Justicia para estos casos? Alguien menciono en la otra lista que si se
> envia una carta y se explica como es la mano estos últimos entiendan y
> modifiquen su accionar... tendrán esa actitud, o se reirían en la cara.
>
> Bue... que otro destile un poco mas... de bronca...
>
> Sos el que va a dar la charla de Python entonces, que bueno... no me la pierdo.
>
> Saludos.
> Mario.
>
>
>
_______________________________________________
Lugro mailing list
Lugro en lugro.org.ar
http://lugro.org.ar/mailman/listinfo/lugro
--
Sebastian.Criado en gmail.com - GPG: 1024D/FB208AA2
797A 6D01 B7FC B8C7 AD5E|counter.li.org: #146768
2A50 66E6 2FFB FB20 8AA2|http://www.lugro.org.ar
http://noalamatricula.wordpress.com/about/ read!
"Si el Universo fuera un programa estaría hecho
en C, y correría sobre un sistema UNIX" Anónimo.
Más información sobre la lista de distribución Lugro