<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Hi Andy,<br>
    <br>
    <div class="moz-cite-prefix">On 01/21/2016 05:38 PM, Andy Green
      wrote:<br>
    </div>
    <blockquote
      cite="mid:BDAF6059-558A-4D1D-8C7A-B599524776C6@warmcat.com"
      type="cite">Hi -<br>
      <br>
      TL;DR: Everyone running a public lws server should update to
      master HEAD, v1.5.1 tag or v1.6.1 tag.<br>
    </blockquote>
    Thanks for the fixes! For v1.6.1 tag the value of
    CPACK_PACKAGE_VERSION_PATCH still 0, isn't it a mistake?<br>
    <blockquote
      cite="mid:BDAF6059-558A-4D1D-8C7A-B599524776C6@warmcat.com"
      type="cite">
      <br>
      A user on github has been able to test lws server part using the
      Codenomicon commercial fuzzer<br>
      <br>
      <a moz-do-not-send="true" href="http://www.codenomicon.com">http://www.codenomicon.com</a>/<br>
      <br>
      This is the technology that found Heartbleed<br>
      <br>
      <a moz-do-not-send="true"
href="http://www.codenomicon.com/news/news/2014/05/20/heartbleed-and-safeguard-how-we-found-it.html">http://www.codenomicon.com/news/news/2014/05/20/heartbleed-and-safeguard-how-we-found-it.html</a><br>
      <br>
      He found some crash bugs in lws using the fuzzer:<br>
      <br>
      <a moz-do-not-send="true"
        href="https://github.com/warmcat/libwebsockets/issues/391">https://github.com/warmcat/libwebsockets/issues/391</a><br>
      <br>
      they are all now fixed in master HEAD but that leaves us a
      problem, some people are reasonably sticking on v1.5 for a bit
      until convenient to deal with our api normalization changes. And
      the packaging has targeted v1.6.<br>
      <br>
      To help ease the pain a bit I backported the fixes to v1.5-stable
      and v1.6-stable branches, and tagged the current HEAD of those
      'v1.5.1' and 'v1.6.1'.<br>
      <br>
      Normally I would withold this for a bit until the packaging can
      update but since this happened on githib in public, I think no
      point this time.<br>
      <br>
      Sorry for the problem, but on the bright side if you are using
      master HEAD (shortly to become v1.7) that has been confirmed now
      to pass<br>
      <br>
      - Codenomicon in http/ws and https/wss modes<br>
      <br>
      - Coverity Static Analysis (0 defects)<br>
      <br>
      - Autobahn ws fuzzer (one fail 2.10 ping spamming, that is not in
      the ws standard)<br>
      <br>
      As part of debugging the finds from codenomicon I added a skeletal
      fuzzing proxy on HEAD, fuzxy. This uses http_proxy= to stand
      between the client and server and have the opportunity to inject,
      mess with or delete network traffic in both directions. It just
      has a handful of tests operated by hand right now but this could
      grow into something useful to help reduce any future surprises.<br>
      <br>
      -Andy<br>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Libwebsockets mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Libwebsockets@ml.libwebsockets.org">Libwebsockets@ml.libwebsockets.org</a>
<a class="moz-txt-link-freetext" href="http://ml.libwebsockets.org/mailman/listinfo/libwebsockets">http://ml.libwebsockets.org/mailman/listinfo/libwebsockets</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>