[devel] [git update] packages/gear: tags/compound_subst_stable
Dmitry V. Levin
ldv на altlinux.org
Вт Авг 28 11:17:45 MSD 2007
On Tue, Aug 28, 2007 at 03:00:30AM +0400, Aleksey Morozov wrote:
> Update of /people/morozov/packages/gear.git
[...]
> Full diff since `1.2.5-alt1' follows:
[...]
> --- a/gear-sh-functions.in
> +++ b/gear-sh-functions.in
[...]
> get_NVR_from_spec()
> {
> local spec="$1" && shift
> + local arg=${rpm_rclist:--q} # extra -q does't affect anything
>
> - spec_name="$(sed '/^name:[[:space:]]*/I!d;s///;q' "$spec")"
> - spec_version="$(sed '/^version:[[:space:]]*/I!d;s///;q' "$spec")"
> - spec_release="$(sed '/^release:[[:space:]]*/I!d;s///;q' "$spec")"
> + spec_name=$($RPM "$arg" -q --qf '%{NAME}' --specfile "$spec")
> + spec_version=$($RPM "$arg" -q --qf '%{VERSION}' --specfile "$spec")
> + spec_release=$($RPM "$arg" -q --qf '%{RELEASE}' --specfile "$spec")
Это изменение противоречит архитектуре gear.
rpmquery --specfile даёт возможность выполнить произвольный код.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : отсутствует
Тип : application/pgp-signature
Размер : 189 байтов
Описание: отсутствует
Url : http://lists.altlinux.org/pipermail/devel/attachments/20070828/27274309/attachment.bin
Подробная информация о списке рассылки Devel