[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:38857] Re: Debian mew 2.2 problem
On March 21, 2003, [debian-devel:15606],
Tatsuya Kinoshita <tats@xxxxxxxxxxxxxx> wrote:
> Mew 2.0〜2.3には、送信するメールの内容が前回送ったメールの内容に
> 差し替わってしまう可能性がある(つまり、さっき送ったメールそのもの
> を別の人へ送ってしまうかもしれない)、というバグがあります。
> (potatoのMew 1.xやsidのMew 3.xは該当しません)
>
> ひどいバグなので、DSAはともかく、stableのアップデートには入ってほ
> しい内容だと思っています。(Debian Security Teamにも知らせてありま
> すが、セキュリティ問題としては認識されていないようです)
woody-proposed-updatesに修正版(mew 2.2-3.1)を入れていただいていた
のですが、結局Debian GNU/Linux 3.0r2には含まれないことになりました。
いったんは削除していた下記のパッケージを復活させましたので、上記
のバグが気になる方はご利用ください。同じディレクトリにソースファ
イルも置いています。
> パッチは下記のとおりです。とりあえずwoody用バイナリも作ってあります。
>
> http://tats.iris.ne.jp/mew/deb/mew-bin_2.2-3.0.1_i386.deb
> http://tats.iris.ne.jp/mew/deb/mew_2.2-3.0.1_all.deb
>
> * Don't send an old message buffer. mew-smtp-insert-file removes an
> old message buffer if exists. (backport from Mew 3.0.69)
>
> --- mew-2.2.orig/mew-smtp.el
> +++ mew-2.2/mew-smtp.el
> @@ -587,8 +587,11 @@
> (info (concat file mew-queue-info-suffix))
> (server (mew-smtp-get-server pnm))
> (port (mew-smtp-get-port pnm))
> - (ssh-server (mew-smtp-get-ssh-server pnm)))
> + (ssh-server (mew-smtp-get-ssh-server pnm))
> + buf)
> (rename-file file work 'override)
> + ;; If an old buffer exists by accident, we MUST remove the buffer.
> + (if (setq buf (get-file-buffer work)) (mew-remove-buffer buf))
> (mew-frwlet
> mew-cs-text-for-read mew-cs-dummy
> (set-buffer (find-file-noselect work)))
> なお、Mew 2.3でセキュリティ問題と言われていたS/MIMEの一時ファイル
> 処理のバグについては、他のユーザーからの攻撃は成功しないものと思
> います。
--
木下達也