[LUG.ro] Fwd: AFIP Viola GPL

"Sebastián D. Criado" sebastian.criado en gmail.com
Mar Sep 15 17:40:41 ART 2009 

El 15/09/09 16:24, Mario Oroz escribió:
> Fabian Ezequiel Gallina escribió:
>> Debajo un mail que viene desde la lista de PyAr.
> 
>> Yo realmente todavía no puedo creerlo.

El Software más precisamente es el gzip. Me lo comento hace unos días 
Emiliano Gavilan que se puso a ver los strings-.

Según los strings:

%s: %s already has %s suffix -- unchanged
%s: %s: unknown method %d -- get newer version of gzip
%s: %s is encrypted -- get newer version of gzip
%s: %s is a a multi-part gzip file -- get newer version of gzip
%s: %s has flags 0x%x -- get newer version of gzip
%s: %s: part number %u
%s: %s: extra field of %u bytes ignored
corrupted input -- file name too large
%s: %s: not in gzip format

Jean-Loup es el autor atrás de todo lo relacionado con la librería zlib 
(info-zip, zip, unzip, gzip, zlib)

Según el help del gzip que puede bajarse desde 
http://www.gzip.org/gzip124xN.zip (para win):

Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
along with this program; if not, write to the Free Software
You should have received a copy of the GNU General Public License
GNU General Public License for more details.
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
but WITHOUT ANY WARRANTY; without even the implied warranty of
This program is distributed in the hope that it will be useful,
any later version.
the Free Software Foundation; either version 2, or (at your option)
it under the terms of the GNU General Public License as published by
This program is free software; you can redistribute it and/or modify
Copyright (C) 1992-1993 Jean-loup Gailly

$ gzip --help
Usage: gzip [OPTION]... [FILE]...
Compress or uncompress FILEs (by default, compress FILES in-place).

Mandatory arguments to long options are mandatory for short options too.

   -c, --stdout      write on standard output, keep original files unchanged
   -d, --decompress  decompress
   -f, --force       force overwrite of output file and compress links
   -h, --help        give this help
   -l, --list        list compressed file contents
   -L, --license     display software license
   -n, --no-name     do not save or restore the original name and time stamp
   -N, --name        save or restore the original name and time stamp
   -q, --quiet       suppress all warnings
   -r, --recursive   operate recursively on directories
   -S, --suffix=SUF  use suffix SUF on compressed files
   -t, --test        test compressed file integrity
   -v, --verbose     verbose mode
   -V, --version     display version number
   -1, --fast        compress faster
   -9, --best        compress better

With no FILE, or when FILE is -, read standard input.

Report bugs to <bug-gzip en gnu.org>.

$ gzip --version
gzip 1.3.12
Copyright (C) 2007 Free Software Foundation, Inc.
Copyright (C) 1993 Jean-loup Gailly.
This is free software.  You may redistribute copies of it under the terms of
the GNU General Public License <http://www.gnu.org/licenses/gpl.html>.
There is NO WARRANTY, to the extent permitted by law.

Written by Jean-loup Gailly.

Si comparamos los strings de la DLL vemos:

Copyright (C) 1992-1993 Jean-loup Gailly
    This program is free software; you can redistribute it and/or modify
    it under the terms of the GNU General Public License as published by
    the Free Software Foundation; either version 2, or (at your option)
    any later version.
    This program is distributed in the hope that it will be useful,
    but WITHOUT ANY WARRANTY; without even the implied warranty of
    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
    GNU General Public License for more details.
    You should have received a copy of the GNU General Public License
    along with this program; if not, write to the Free Software
    Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
usage: %s [-%scdfhlLnN%stvV19] [-S suffix] [file ...]
  -a --ascii       ascii text; convert end-of-lines using local conventions
  -c --stdout      write on standard output, keep original files unchanged
  -d --decompress  decompress
  -f --force       force overwrite of output file and compress links
  -h --help        give this help
  -l --list        list compressed file contents
  -L --license     display software license
  -n --no-name     do not save or restore the original name and time stamp
  -N --name        save or restore the original name and time stamp
  -q --quiet       suppress all warnings
  -S .suf  --suffix .suf     use suffix .suf on compressed files
  -t --test        test compressed file integrity
  -v --verbose     verbose mode
  -V --version     display version number
  -1 --fast        compress faster
  -9 --best        compress better
  file...          files to (de)compress. If none given, use standard input.
%s %s (%s)
1.2.4
18 Aug 93

Con lo que podríamos concluir que se está usando el gzip versión  es el 
gzip 1.2.4


Las cadenas no son exactamente iguales por que el gzip distribuído por 
la afip esta compilado con borland C++ mientras que el de gzip.org con 
mingw.
pero son iguales (salvo el orden, claro)
%s %s (%s)
1.2.4 Win32


A todo esto agrego que es una versión vulnerable según el propio sitio 
de gzip. [1] con lo cual, hasta están comprometiendo la seguridad de los 
usuarios que bajan el aplicativo.



[1] http://www.gzip.org/
Important security patch
gzip 1.2.4 may crash when an input file name is too long (over 1020 
characters). The buffer overflow may be exploited if gzip is run by a 
server such as an ftp server. Some ftp servers allow compression and 
decompression on the fly and are thus vulnerable. See technical details 
here. This patch to gzip 1.2.4 fixes the problem. The beta version 1.3.3 
already includes a sufficient patch; use this version if you have to 
handle files larger than 2 GB. A new official version of gzip will be 
released soon.

[...]
> 
> Hola Fabian, yo tambien estoy en PyAr; pero de leyente nomas! por ahora :).
> 
> Me indigne mucho, lo iba a comentar aquí pero, incluso hasta eso me pareció en
> vano, ya que si el mismisimo propietario intelectual del soft no puede hacer
> nada por escasos recursos, y para hacerlo por medio de FSF también debes contar
> con tiempo y recursos... como se hace frente a esto, el pez grande se come al
> chico y así in eternum? Que bronca me comí (bueno, ahora la comparto), encima la
> AFIP!

La licencia es un copyright, no se olviden de eso y el copyright es un 
contrato entre partes.
El único que puede actuar es el perjudicado.
De allí que lo que se hace es ceder el copyright a la FSF para que ella 
pueda actuar en cualquier parte del mundo. Esto es simple y llanamente 
por costos. Sale muy caro un abogado en la otra punta del globo (creo no 
puede venir un abogado extranjero aquí a hacer quilombo).

Saludos.-

> Habrá Justicia para estos casos? Alguien menciono en la otra lista que si se
> envia una carta y se explica como es la mano estos últimos entiendan y
> modifiquen su accionar... tendrán esa actitud, o se reirían en la cara.
> 
> Bue... que otro destile un poco mas... de bronca...
> 
> Sos el que va a dar la charla de Python entonces, que bueno... no me la pierdo.
> 
> Saludos.
> Mario.
> 
> 
> 
_______________________________________________
Lugro mailing list
Lugro en lugro.org.ar
http://lugro.org.ar/mailman/listinfo/lugro

-- 
Sebastian.Criado en gmail.com - GPG: 1024D/FB208AA2
797A 6D01 B7FC B8C7 AD5E|counter.li.org: #146768
2A50 66E6 2FFB FB20 8AA2|http://www.lugro.org.ar
http://noalamatricula.wordpress.com/about/ read!
"Si  el Universo fuera un programa estaría hecho
en C, y correría sobre un sistema UNIX" Anónimo.

Más información sobre la lista de distribución Lugro