MLDonkey – Aggiornamento di sicurezza

Sinceramente avevo perso di vista lo sviluppo di MLDonkey e mi sono accorto in ritardo (molto ritardo) che il 25 Febbraio è stata rilasciata la versione 3.0.0 del programma.

L’aggiornamento è d’obbligo visto che nelle versioni precedenti fino alla 2.9.7 è presente un bug critico nell’interfaccia http che permetteva di accedere via web a file locali.
Il bug era facilmente sfruttabile aggiungendo un doppio slash dopo l’url di MLDonkey e aggiungendo il path del file che si voleva visionare, ad esempio:

http://mlhost:4080//etc/passwd

Qualche particolare aggiuntivo è reperibile qui.
Sinceramente mi lascia basito che un aspetto di così banale di software security (“I dati immessi dall’utente sono per ipotesi sempre malevoli, vanno sempre analizzati come tali” cit. ) sia venuto alla luce solo ora, dopo anni di sviluppo.

La nuova versione è disponible su SourceForge, correre ad aggiornare subito!!

Disponibile MLDonkey 2.9.5

E’ pronta una nuova versione per il famoso client P2P multiprotocollo (a dire il vero era disponibile da un po’….), non introduce niente di nuovo ma corregge qualche bug della versione precedente.

Ecco il changelog:

6503: Remove release status when download is finished
6465: BT: Send correct downloaded value when download starts to tracker (colchaodemola)
6477: Use $MLDONKEY_DIR/mlnet_tmp instead of /tmp
– This patch fixes problems with hash checking of multifile BT
downloads when /tmp is too small.
– To override $MLDONKEY_DIR/mlnet_tmp use variable $MLDONKEY_TEMP.
This patch has nothing to do with option temp_directory.
6472: Multiuser: Count only files in download queue for user/group statistics
6471: Clean logfile
6470: BT: Use default of max_upload_slots as minimum for BT-max_bt_uploaders instead of hard-coded value
6466: Fix option_hook loop when changing max_upload_slots < 3, caused by patch #6451
6462: Multiuser: Restrict chown to admin users only
6458: Fix commit bug when filesystem reports negative values for maximum filename length
6451: BT: Implement minimum of 3 (like max_upload_slots) for option max_bt_uploaders

Come al solito rendo disponibile il file binario per l’aggiornamento del programma.