<br><br><div class="gmail_quote">22 июля 2011 г. 23:17 пользователь Dmitry V. Levin <span dir="ltr"><<a href="mailto:ldv@altlinux.org">ldv@altlinux.org</a>></span> написал:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">On Fri, Jul 22, 2011 at 08:47:17PM +0300, Igor Vlasenko wrote:<br>
> On Fri, Jul 22, 2011 at 01:07:02AM +0400, Dmitry V. Levin wrote:<br>
> > On Fri, Jul 22, 2011 at 12:58:09AM +0400, Денис Смирнов wrote:<br>
> > > DVL> Там используется subst_module_spec(), скопированный из kernel-build-sh-functions.<br>
> > > DVL> Надеюсь, вы помните, что там есть вызов утилиты add_changelog, который равносилен<br>
> > > DVL> исполнению произвольного кода на сервере?<br>
><br>
> можно заменить add_changelog на равносильный вызов<br>
> $ srpmnmu -i --next-release-policy=none --changelog '- some text' /path/to.spec<br>
> у которого реализация add_changelog чисто перловая.<br>
<br>
</div>Насколько надежно в таком случае srpmnmu может вычислить<br>
'%|serial?{%{serial}:}|%{version}-%{release}'<br>
используемый для формирования %changelog'а?<br>
<font color="#888888"><br></font></blockquote><div><br>У меня используется свой вариант girar-stamp-spec, но проблема там та же. Возможность вероятного трояна, если я правильно понял, состоит в том, что в сборочных секциях может быть, по сути, любой скрипт, а соответственно и код.<br>
<br>Полагаю, сделать так:<br>1) перед запуском делаю временную копию spec-файла<br>2) очищаю в этом временном spec-файле секции %prep, %build, %install (что-то ещё)<br>3) получаю из этого файла нужную информацию с помощью rpm --spec<br>
<br>strace -f показал, что после такой манипуляции sh больше не запускается....<br><br>Как вам такой вариант?<br><br><br></div></div>--<br>Sin (Sinelnikov Evgeny)<br>Etersoft<br>