[debian-devel:15536] Re: Test package of xdvik-ja 22.40t-j1.12 is available

[TSUCHIYA Masatoshi <tsuchiya@xxxxxxxxxxxxxxxxxxxxxxx>]

>> On Fri, 31 Jan 2003 15:28:25 +0900
>> kohda@xxxxxxxxxxxxxxxxxxxx (Atsuhito Kohda) said as follows:

>> しかし，security hole を再び作ってしまっているのだとすれば本末転倒です
>> ね．お手数をお掛けしますが，その security に問題がある版の xdvi-pl と
>> その指摘内容を送っていただけないでしょうか．

>Bug#174987 を取り敢えずご覧ください。

了解しました．

しかし，このバグ報告によれば，セキュリティホールは結局なかったというこ
とになりませんか?

BTS>> The new xdvi wrapper in /usr/bin has the following problems:
BTS>> 
BTS>>   - The temporary file that compressed files are decompressed into is
BTS>>     created in the current working directory.  This creates a race
BTS>>     condition and exploitable security hole.
BTS>
BTS> Please see the documentation of File::Temp; this *is* safe.  (And it's
BTS> probably better to use a well-tested, documented secure interface like
BTS> this than to rewrite our own.)

というやりとりが交わされているので．

私の変更は，この部分を open から File::Temp に戻した変更に相当しますか
ら，他のバグ修正は大丈夫のはずです．

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )