[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-devel:15538] Re: Test package of xdvik-ja 22.40t-j1.12 is available



From: TSUCHIYA Masatoshi <tsuchiya@xxxxxxxxxxxxxxxxxxxxxxx>
Subject: [debian-devel:15536] Re: Test package of xdvik-ja 22.40t-j1.12 is available
Date: Fri, 31 Jan 2003 16:01:55 +0900

> >Bug#174987 を取り敢えずご覧ください。
> 
> 了解しました.
> 
> しかし,このバグ報告によれば,セキュリティホールは結局なかったというこ
> とになりませんか?
> 
> BTS>> The new xdvi wrapper in /usr/bin has the following problems:
> BTS>> 
> BTS>>   - The temporary file that compressed files are decompressed into is
> BTS>>     created in the current working directory.  This creates a race
> BTS>>     condition and exploitable security hole.
> BTS>
> BTS> Please see the documentation of File::Temp; this *is* safe.  (And it's
> BTS> probably better to use a well-tested, documented secure interface like
> BTS> this than to rewrite our own.)
> 
> というやりとりが交わされているので.

えーと Perl は理解できないので間違ってるかもわかりませ
んが,この続きも読まれましたか?

後になって,これはやはり grave だから修正版を可能な限り
早く upload して,と言われたのですが。

> 私の変更は,この部分を open から File::Temp に戻した変更に相当しますか
> ら,他のバグ修正は大丈夫のはずです.

これはそうかも分りませんが,念の為,一応上の Bug 報告を最後
まで読んでみてください(^^;

				   平成15年1月31日(金)
-- 
 ***************************
 香田 温人(こうだ あつひと)
 http://www1.pm.tokushima-u.ac.jp/%7Ekohda/