[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-devel:15887] Re: Debian mew 2.2 problem

From: Tatsuya Kinoshita <tats@xxxxxxxxxxxxxx>
Subject: [debian-devel:15887] Re: Debian mew 2.2 problem
Date: Sun, 23 Nov 2003 19:00:47 +0900
List-help: <mailto:debian-devel-ctl@debian.or.jp?body=help>
List-id: debian-devel.debian.or.jp
List-owner: <mailto:debian-devel-admin@debian.or.jp>
List-post: <mailto:debian-devel@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-devel-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-devel-ctl@debian.or.jp; help=<mailto:debian-devel-ctl@debian.or.jp?body=help>
X-ml-name: debian-devel
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-level:
X-spam-status: No, hits=-2.7 required=10.0 tests=EMAIL_ATTRIBUTION,ISO2022JP_BODY,QUOTED_EMAIL_TEXT, RCVD_IN_MULTIHOP_DSBL,RCVD_IN_UNCONFIRMED_DSBL, SIGNATURE_SHORT_DENSE,SPAM_PHRASE_00_01 version=2.44
References: <20030321.205607.80193841.05@xxxxxxxxxxxxxxx>
Message-id: <20031123.185924.32769611.05@xxxxxxxxxxxxxxx>
X-mail-count: 15887
X-mailer: Mew version 4.0.62 on Emacs 20.7.3 / Mule 4.1 (AOI)

On March 21, 2003, [debian-devel:15606],
Tatsuya Kinoshita <tats@xxxxxxxxxxxxxx> wrote:

> Mew 2.0〜2.3には、送信するメールの内容が前回送ったメールの内容に
> 差し替わってしまう可能性がある(つまり、さっき送ったメールそのもの
> を別の人へ送ってしまうかもしれない)、というバグがあります。
> (potatoのMew 1.xやsidのMew 3.xは該当しません)
> 
> ひどいバグなので、DSAはともかく、stableのアップデートには入ってほ
> しい内容だと思っています。(Debian Security Teamにも知らせてありま
> すが、セキュリティ問題としては認識されていないようです)

woody-proposed-updatesに修正版(mew 2.2-3.1)を入れていただいていた
のですが、結局Debian GNU/Linux 3.0r2には含まれないことになりました。

いったんは削除していた下記のパッケージを復活させましたので、上記
のバグが気になる方はご利用ください。同じディレクトリにソースファ
イルも置いています。

> パッチは下記のとおりです。とりあえずwoody用バイナリも作ってあります。
> 
>   http://tats.iris.ne.jp/mew/deb/mew-bin_2.2-3.0.1_i386.deb
>   http://tats.iris.ne.jp/mew/deb/mew_2.2-3.0.1_all.deb
> 
>   * Don't send an old message buffer.  mew-smtp-insert-file removes an
>     old message buffer if exists. (backport from Mew 3.0.69)
> 
> --- mew-2.2.orig/mew-smtp.el
> +++ mew-2.2/mew-smtp.el
> @@ -587,8 +587,11 @@
>  	   (info (concat file mew-queue-info-suffix))
>  	   (server (mew-smtp-get-server pnm))
>  	   (port (mew-smtp-get-port pnm))
> -	   (ssh-server (mew-smtp-get-ssh-server pnm)))
> +	   (ssh-server (mew-smtp-get-ssh-server pnm))
> +	   buf)
>        (rename-file file work 'override)
> +      ;; If an old buffer exists by accident, we MUST remove the buffer.
> +      (if (setq buf (get-file-buffer work)) (mew-remove-buffer buf))
>        (mew-frwlet
>         mew-cs-text-for-read mew-cs-dummy
>         (set-buffer (find-file-noselect work)))

> なお、Mew 2.3でセキュリティ問題と言われていたS/MIMEの一時ファイル
> 処理のバグについては、他のユーザーからの攻撃は成功しないものと思
> います。

-- 
木下達也

Prev by Date: [debian-devel:15886] Unanswered problem reports by date
Next by Date: [debian-devel:15888] Unanswered problem reports by maintainer and package
Previous by thread: [debian-devel:15886] Unanswered problem reports by date
Next by thread: [debian-devel:15888] Unanswered problem reports by maintainer and package
Index(es):
- Date
- Thread