O to se pokousel Sven (taky dela fsp) a dokonce se osobne zna s nekym z debian sec. teamu. Jak je videt, niceho nedosahl. Debian sec. team posila sice message encrypted ale nikdy jsem od nich nedostal signed. Ten zmineny patch nekodoval sec. team ale maintainer. Ja jsem ho tam kopnul misto sveho protoze byl hezky zformatovanej, kod byl ten samej. Jinak situace ohledne 'security announcu' je dost zvlastni. Nejlepsi je poslat patch autorovy at si to opravi, komercni vendori ty na to kaslou dokud se nedostane do obehu exploit. Jinak pokud poslete security announci tem velkym sajtam na netu, tak necekejte ze to taky announcnou pokud neni exploit in the wild. Za posledni rok mne neannoucnuli zadny z 6ti patchu, to ze si ukradnou credits pokud muzou, to ani nezminuju. Moje jmeno jsem v security announcich za posledni 2 roky nevidel. Ovsem pokud jim posle neco nekdo znamy (deb. sec team) tak to uz je jina, zjevne maji u nich dobry image. Posledni rok sem nasel chybu v softu od HP a ty mne vyhrozovali pravnikem, takze je videt, ze informace o bugach ve svem komercnim softu zrovna moc neocenuji. Security to je dneska predevsim velky byznys, protoze to vsichni dost zerou. K situaci fsp a rel. crit. bug: mne je to fuk, ja debos uz 3 mesice nepouzivam. Kdyz tak jim mailnete sam. Vyhoda FSP je mimojine v tom, ze se mne nepocita do download limitu, neb to jede pres UDP a ne TCP :) Jinak security problemy se nejsnadneji daji vyresit takto: http://scache.sf.net/ - soft se proste odpraskne a hotovo, clovek se nemusi matlat s nejakou patchi.
Názor k článku
Vytváření FreeBSD balíčku
