# net-www/netscape-flash mascherato ?!?

## Kernel78

Questa mattina bello come il sole controllo quali pacchetti ci sarebbero da aggiornare e ...

... hanno mascherato net-www/netscape-flash !!!

Mi fiondo a leggermi il changelog e trovo un enigmatico *changelog wrote:*   

>   14 Jul 2007; <tester@gentoo.org> netscape-flash-9.0.48.0.ebuild:
> 
>   Remove file that no longer exists
> 
> 

 

A questo punto voi come vi comportate ?

Smascherarlo in package.unmask sembra inutile, se deve essere rimosso ci sarà anche un motivo ma non capisco quale ...

P.S. mentre scrivevo ho trovato una plausibile motivazione, sembra che adobe abbia annunciato la presenza di una falla critica nelle versioni 9,8 e 7 ma la cosa strana è che adobe consiglia di installare la 9.0.48.0 e quindi torno a non capire perchè risulta mascherata ...

P.S.2 sembra che http://fpdownload.macromedia.com (da cui l'ebuild dovrebbe scaricare i file) non sia raggiungibile ...

----------

## crisandbea

hai provato da : qui

comunque  utilizzandolo  in 

```
/etc/portage/package.unmask
```

  come hai già detto tu, non dà nessun tipo di problema. 

ciauz

----------

## .:deadhead:.

Che strano: qui nn ne parlano  :Neutral: 

http://www.gentoo.org/security/en/glsa/index.xml

----------

## Kernel78

 *.:deadhead:. wrote:*   

> Che strano: qui nn ne parlano 
> 
> http://www.gentoo.org/security/en/glsa/index.xml

 

Forse non ne parlano perchè effettivamente le versioni presenti in portage non sono affette da questa vulnerabilità ...

Non capisco cmq il senso del mascheramento  :Confused: 

Smascherarlo è funzionale senza dubbio ma mi chiedo quanto sia sensato, se è stato mascherato presumo ci sia un motivo e ignorare completamente una cosa così "grave" da far ricorrere al mascheramento di un pacchetto stabile e largamente utilizzato non mi pare una scelta molto ponderata.

----------

## noice

spero di non sbagliarmi:

https://bugs.gentoo.org/show_bug.cgi?id=185044

----------

## Scen

Mah... sembra che il tarball della 9.0.48 sia "cambiato", ovvero il Manifest dell'ebuild di qualche giorno fa non coincide più con quello attuale, pertanto hanno deciso di mascherarlo.

Axxo, un bel casino  :Shocked: 

----------

## Kernel78

Io per il momento l'ho rimosso, magari sono solo paranoico ma preferisco così fino a quando non si chiarisce bene la situazione.

----------

## crisandbea

 *Kernel78 wrote:*   

> Io per il momento l'ho rimosso, magari sono solo paranoico ma preferisco così fino a quando non si chiarisce bene la situazione.

 

e come farai con i siti che usano flash-9???

ciauz

----------

## Scen

Boicott FLASH  :Twisted Evil:  (una piaga dell'umanità e del web  :Evil or Very Mad:  )

----------

## crisandbea

 *Scen wrote:*   

> Boicott FLASH  (una piaga dell'umanità e del web  )

 

Lo farei anche io, il problema è come?    :Laughing: 

----------

## Kernel78

 *crisandbea wrote:*   

>  *Kernel78 wrote:*   Io per il momento l'ho rimosso, magari sono solo paranoico ma preferisco così fino a quando non si chiarisce bene la situazione. 
> 
> e come farai con i siti che usano flash-9???
> 
> ciauz

 

o mio dio !!! è vero ci sono dei siti che obbligano all'uso di flash !!!

Va be, faro a meno di quei siti, dubito che questo porterà a gravi ripercussioni nella mia vita  :Wink: 

Tu invece ti limiti a ignorare il motivo per cui il file è cambiato e per cui è stato mascherato e vai avanti facendo finta che non sia successo nulla ?

----------

## crisandbea

 *Kernel78 wrote:*   

>  *crisandbea wrote:*    *Kernel78 wrote:*   Io per il momento l'ho rimosso, magari sono solo paranoico ma preferisco così fino a quando non si chiarisce bene la situazione. 
> 
> e come farai con i siti che usano flash-9???
> 
> ciauz 
> ...

 

non è questione di andare avanti facendo finta di.... , il problema è che a me per vedere alcuni siti, e non posso farne a meno serve flash9....    :Crying or Very sad: 

----------

## Kernel78

 *crisandbea wrote:*   

> non è questione di andare avanti facendo finta di.... , il problema è che a me per vedere alcuni siti, e non posso farne a meno serve flash9....   

 

In un caso come questo se io avessi necessità di vedere alcuni siti mi comporterei cmq come se non esistesse un player per linux, continuare ad utilizzare flash dopo queste "anomalie" è quantomeno imprudente.

Giusto per curiosità quali sono questi siti che ti servono ?

----------

## Scen

In alternativa ci sarebbe

```

* net-www/gnash

     Available versions:  ~0.8.0 !9999

     Homepage:            http://www.gnu.org/software/gnash

     Description:         Gnash is a GNU Flash movie player that supports many SWF v7 features

```

Nno l'ho mai provato personalmente, ma essendo ~arch vuol dire che qualcosa riesce a visualizzare....  :Razz:   :Wink: 

----------

## crisandbea

 *Kernel78 wrote:*   

>  *crisandbea wrote:*   non è questione di andare avanti facendo finta di.... , il problema è che a me per vedere alcuni siti, e non posso farne a meno serve flash9....    
> 
> In un caso come questo se io avessi necessità di vedere alcuni siti mi comporterei cmq come se non esistesse un player per linux, continuare ad utilizzare flash dopo queste "anomalie" è quantomeno imprudente.
> 
> Giusto per curiosità quali sono questi siti che ti servono ?

 

quello della gazzetta dello sport, ed altri attinenti,  e lo stesso youtube,  lo sò che dirai, vabbè ma puoi volendo farne a meno,  ma perchè dovrei farne a meno?non esiste un'alternativa per guardarli comunque?

ciauz

----------

## Kernel78

 *crisandbea wrote:*   

> quello della gazzetta dello sport, ed altri attinenti,  e lo stesso youtube,  lo sò che dirai, vabbè ma puoi volendo farne a meno,  ma perchè dovrei farne a meno?non esiste un'alternativa per guardarli comunque?
> 
> 

 

Ok, pensavo ci fossero dei siti che ti servivano per lavoro ...

imho dovresti farne a meno perchè non esiste attualmente un sw stabile o in testing per visitarli.

Un'alternativa free è gnash ma sul sito dicono che supporta alcune funzionalità di flash 7 (quindi direi che flash 9 è oltre alle sue capacità)

----------

## Cazzantonio

Non capisco il motivo di tutta questa critica... il fatto che un software non sia più in portage (o sia hardmasked) non significa che tu non possa utilizzarlo.

Se il software in questione crea problemi di sicurezza o di altro tipo i devel fanno bene a toglierlo da portage, ma se ti serve davvero puoi andare sul sito di adobe e scaricartelo... installarlo è velocissimo. Basta copiare in ~/.mozilla/plugins/ i seguenti files:

```
flashplayer.xpt

libflashplayer.so
```

Non hai davvero bisogno di portage per questo.

P.S. Ci sono un sacco di software che, per ovvi motivi, non sono in portage... una delle cause principali è che il numero (finito) di devel che abbiamo non possono occuparsi di tutti i programmi che si possono reperire in rete. Questo non significa che tali programmi non possano essere utilizzati su gentoo, solo che vanno installati a mano (seguendo probabilmente la guida di installazione fornita insieme al programma).

E' un processo a volte più lungo (ma a volte più corto... esistono anche programmi forniti come binari) ma dovrebbe portare allo stesso risultato.

----------

## Kernel78

 *Cazzantonio wrote:*   

> Non capisco il motivo di tutta questa critica... il fatto che un software non sia più in portage (o sia hardmasked) non significa che tu non possa utilizzarlo.
> 
> Se il software in questione crea problemi di sicurezza o di altro tipo i devel fanno bene a toglierlo da portage, ma se ti serve davvero puoi andare sul sito di adobe e scaricartelo... installarlo è velocissimo. Basta copiare in ~/.mozilla/plugins/ i seguenti files:
> 
> ```
> ...

 

Infatti la mia critica non era assolutamente sulle possibilità tecniche di installazione ma su quanto possa essere una scelta effettuata con cognizione di causa o più in linea con l'utonto windows.

Il pacchetto è stato impostato come hard masked ? si

Questo cosa comporta (oltre a dover fare due passi in più per installarlo) ? Boh.

Ok allora lo installo lo stesso ...

Magari ho degli standard troppo elevati ma prima capisco per bene il motivo per cui è stato mascherato e poi posso valutare se reinstallarlo o meno. Ignorare il fatto personalmente mi ricorda l'atteggiamento del utonto che prima installa e poi si chiede se converrebbe usare l'antivirus.

Io nel dubbio preferisco ragionare e fino a quando non ho delle informazioni concrete preferisco astenermi.

Poi è ovvio che se uno se ne frega ci sono più modi per installarlo velocemente ma questo non è in discussione.

----------

## .:deadhead:.

concordo con noice  : https://bugs.gentoo.org/show_bug.cgi?id=185044

La chiave di tutto è in  bugzilla. Probabilmente è stata fatta qualche cappellata nella messa in upstream di qualche file e accortisi della frittata, hanno risolto maskando tutto e facendo tabula rasa...

----------

## otaku

```
# Olivier CrÃªte <tester@gentoo.org> (14 Jul 1007)

# We can't mirror. Different upstream mirrors have different versions# and the tarballs are unversioned

# And the older versions are affected by critical remote security vulnerability

# See Gentoo bug #185141

net-www/netscape-flash
```

il bug in questione riporta al seguente link: http://secunia.com/advisories/26027/.

Ovvero Adobe Flash Player Multiple Vulnerabilities come recita il titolo della segnalazione;

a quanto ne ho capito è l'ennesima falla che consente di far lanciare "arbitray code" al solito utente malizioso di turno.  :Laughing: 

Che flash sia un cancro non c'è dubbio, ma è il minimo denominatore comune per tutti gli OS più diffusi per gustarsi un po' multimedialità fine a se stessa  :Razz: ;

penso che basti non visitare siti h4ck3rz, w4r3z, su0n3r13 gr4t1z, l0gh1 3 sf0nd1 s3mpr3 gr4t1z, per stare sufficientemente sicuri, tutto questo ovviamente IMHO  :Smile: 

Concludo postando il succo della pagina di secunia:

 *Quote:*   

> Solution:
> 
> Apply updates.

 

----------

## riverdragon

 *Kernel78 wrote:*   

> Magari ho degli standard troppo elevati ma prima capisco per bene il motivo per cui è stato mascherato e poi posso valutare se reinstallarlo o meno. Ignorare il fatto personalmente mi ricorda l'atteggiamento del utonto che prima installa e poi si chiede se converrebbe usare l'antivirus.
> 
> Io nel dubbio preferisco ragionare e fino a quando non ho delle informazioni concrete preferisco astenermi.

 

Disinstallare un software che hai volutamente installato non è proprio "astenersi"  :Wink: 

Comunque il problema, come è stato detto, è che con l'ebuild aggiornato ci si potrebbe trovare a scaricare un tarball vecchio a causa della differenza di versione (non segnalata) tra i mirror. Io ho smascherato l'ebuild dopo aver dato un'occhiata a bugzilla e non mi sono posto particolari problemi.

----------

## Kernel78

 *riverdragon wrote:*   

> Disinstallare un software che hai volutamente installato non è proprio "astenersi"  

 

Mi astengo dall'usarlo  :Wink: 

----------

## Jack.Gmi

Alla fine, vedendo quanto scritto nel package.mask o lo si installa a mano o si fa l'unmask dell'ebuild e si verifica manualmente che venga installata una versione sufficientemente aggiornamta da non contenere i bugs di sicurizza.

----------

## Scen

Problema risolto, a quanto pare  :Smile: 

https://bugs.gentoo.org/show_bug.cgi?id=185141#c27

http://sources.gentoo.org/viewcvs.py/*checkout*/gentoo-x86/net-www/netscape-flash/ChangeLog

----------

