[debian-devel:16171] Re: xdvik-ja: Cannot open gziped DVI files

[Atsuhito Kohda <kohda@xxxxxxxxxxxxxxxxxxxx>]

From: TSUCHIYA Masatoshi <tsuchiya@xxxxxxxxxx>
Subject: [debian-devel:16170] Re: xdvik-ja: Cannot open gziped DVI files
Date: Tue, 26 Oct 2004 00:56:16 +0900

> >> On Mon, 25 Oct 2004 22:18:14 +0900
> >> kohda@xxxxxxxxxxxxxxxxxxxx (Atsuhito Kohda) said as follows:
> 
> >> xdvi-jaの場合にはテンポラリファイルという実体があるけど、xdviの場合
> >> には/dev/fd/*のファイルデスクリプタを直接使っているのですね。
> 
> >亀レスで本筋からはズレるのですが，この違いは確か tetex-bin が 
> >Bug#221793 の修正をした為のような気がします。
> 
> Bug#174987 で私が投げたパッチが，いつの間にかまた外されてしまっただけ
> なんじゃないかと思っていたのですが…．
> 
> >だとすると xdvi-ja も同じようにした方が良いと思いますがどうなんでしょ
> >うか？
> 
> はて，本当にこれで良いのでしょうか．
> 
> Bug#174987 で報告されている以下のバグ
> 
> bts> - The temporary file that compressed files are decompressed into
> bts>   is created in the current working directory.  This creates a
> bts>   race condition and exploitable security hole.
> 
> を再発させてしまっていませんか?

そうなんですか。Perl はしゃべれないので判断できないですが
#221793 を投げたのは #174987 を投げたのと同じ Chung-chieh
さんだし #174987 の土屋さんのパッチに対し

I would prefer for xdvi.bin to be invoked on a file in /dev/fd rather
than a "real" file name, so that we do not rely on the user to set
TMPDIR to a sane value.

とか言ってるのが気にはなりますが，もし再発させてるようなら
tetex に投げてみた方が良いと思います。

					平成16年10月26日(火)
-- 
 ***************************
 香田 温人（こうだ あつひと）
 http://www1.pm.tokushima-u.ac.jp/%7Ekohda/