[devel] [git update] packages/gear: tags/compound_subst_stable
Dmitry V. Levin
=?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Вт Авг 28 11:17:45 MSD 2007
On Tue, Aug 28, 2007 at 03:00:30AM +0400, Aleksey Morozov wrote:
> Update of /people/morozov/packages/gear.git
[...]
> Full diff since `1.2.5-alt1' follows:
[...]
> --- a/gear-sh-functions.in
> +++ b/gear-sh-functions.in
[...]
> get_NVR_from_spec()
> {
> local spec="$1" && shift
> + local arg=${rpm_rclist:--q} # extra -q does't affect anything
>
> - spec_name="$(sed '/^name:[[:space:]]*/I!d;s///;q' "$spec")"
> - spec_version="$(sed '/^version:[[:space:]]*/I!d;s///;q' "$spec")"
> - spec_release="$(sed '/^release:[[:space:]]*/I!d;s///;q' "$spec")"
> + spec_name=$($RPM "$arg" -q --qf '%{NAME}' --specfile "$spec")
> + spec_version=$($RPM "$arg" -q --qf '%{VERSION}' --specfile "$spec")
> + spec_release=$($RPM "$arg" -q --qf '%{RELEASE}' --specfile "$spec")
Это изменение противоречит архитектуре gear.
rpmquery --specfile даёт возможность выполнить произвольный код.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20070828/27274309/attachment-0001.bin>
Подробная информация о списке рассылки Devel