domingo, agosto 05, 2007

Automatix for Ubuntu: Extreme Caution!!


Leo en slashdot el siguiente post:
"Ubuntu developer Matthew Garrett has recently analyzed famed Ubuntu illegal software installer Automatix, and found it to be actively dangerous to Ubuntu desktop systems. In a detailed report which only took Garrett a couple of hours he found many serious, show-stopper bugs and concluded that Ubuntu could not officially support Automatix in its current state. Garrett also goes on to say that simple Debian packages could provide all of the functionality of Automatix without any of the problems it exhibits."
Lo que biene a decir es que tras analizar un par de horas el proceso que sigue a cabo automatix para instalar los paquetes, centrándose básicamente en los scripts que utiliza, es que tiene un número considerable de bugs y fallos de seguridad. Wow! yo lo utilizaba siempre que instalaba ubuntu.

Movido por la curiosidad he pinchado en el enlace y ha habido algún punto que me ha dejado algo sorprendido:
  • Unmounts filesystems without checking to ensure that the unmount
    succeeded.
  • Deletes lines from fstab and replaces them with device nodes
    rather than uuids.
  • Setting ctrl-alt-del to open gnome system monitor will destroy any
    existing user configuration for run_command_9
  • Will remove Ubuntu repository packages in favour of tarballs with
    no warning.
  • function reloadnautilus {
    killall -9 nautilus
    }
    Not actually used anywhere, but could potentially lose user
    information without warning.
  • if ps -U root -u root u | grep "dpkg" | grep -v grep;
    then
    killall -9 dpkg
    May well leave the system in an inconsistent and unbootable state, and
    is carried out without warning. This is entirely unacceptable and will
    leave a stale lockfile in any case.
Hay otras bastante menos preocupantes, pero que irritan a los puristas de las licencias y de lo bien hecho (no es mi caso):
  • Includes acroread 7.0.9, despite the new Acrobat license appearing
    to grant no right to redistribute.
  • "Please NOTE that downloading and installing w32codecs, libdvdcss2
    and other non-free codecs without paying a fee to the concerned
    authorities constitutes a CRIME in the United States of America"


    Somewhat dubious legal advice - the issue has nothing to do with fees,
    and isn't just limited to the USA.
Pero bueno, volviéndonos a centrar en lo importante, en este momento no parece ser que automatix sea una buena opción para realizar instalaciones. Parece ser que se está trabajando para reparar estos problemas y ofrecer una versión mejorada. Por ahora creo que es mejor utilizar las aplicaciones que ya trae ubuntu como synaptic o su homólogo para kubuntu (no recuerdo su nombre). Como solución, al final del artículo, se sugiere que el equipo de automatix podría dar un giro al enfoque de su aplicación y comenzar a operar descargando paquetes .deb e instalándolos haciendo uso de las aplicaciones habituales que ya trae el SO para instalar paquetes. (Entonces ¿para que utilizar un gestor de paquetes distinto al que trae por defecto Ubuntu?).

No me quiero ni imaginar la cantidad de chapuzas que habrá en los programas que usamos habitualmente y que ni nos enteramos de que existen.