Koji Arai
jca02****@gmail*****
2007年 4月 23日 (月) 13:05:29 JST
新井です。 セキュリティmemoの指摘に関して <http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2007/04.html#20070417_lha> | 一時ファイルに関する競合状態がある模様。CVE-2007-2030 | patch と FreeBSD の ports/archivers/lha を見比べてみたら、 | xfopen() は 2000.07.31 付の patch で使わなくなってい | た (files/patch-ae)。 src/lharc.c の 1066 行目あたりの修正と | lhext.c の修正はされていないようなので追加した方がよさげか。 追加した方がっという部分の記述は先の私のメールでパッチに対するコメント に「よくわかりません」っと書いた部分です。 もう少し、時間が必要です。 | ports/archivers/lha-ac の方は xfopen() をばりばり使っているし、 | 他のところも直ってないようなので、同様に修正した方がよさげか。 ここは(つまり、/tmp race in lhaの本題については)問題ない と判断しました。 -- Koji Arai
Fork