[devel] bad paths in rpm packages
Alexey Tourbin
=?iso-8859-1?q?at_=CE=C1_altlinux=2Eru?=
Ср Мар 26 01:29:41 MSK 2008
On Tue, Mar 25, 2008 at 05:50:03AM +0300, Alexey Tourbin wrote:
> Но тут всплыла другая проблема: путь может быть каноничен,
> но не кошерен. rpm позволяет запаковать некошерный путь:
>
> %install
> install -pD /dev/null %buildroot/etc/rc.d/init.d/functions
> ln -s rc.d/init.d %buildroot/etc/init.d
> %files
> /etc/init.d/functions
>
> $ rpm -bb test.spec
> ...
> warning: Installed (but unpackaged) file(s) found:
> /etc/init.d
> /etc/rc.d/init.d/functions
> Wrote: /home/at/RPM/RPMS/athlon/test-1.0-alt1.athlon.rpm
> $ rpm -qlvp /home/at/RPM/RPMS/athlon/test-1.0-alt1.athlon.rpm
> -rwxr-xr-x 1 root root 0 Mar 20 18:50 /etc/init.d/functions
> $
Вроде сделал проверку, чтобы нельзя было запаковать файл в пути
которого встречается симлинк.
commit 5c12a6d19d7a03752eb0a2f57f7b21bdfaf91589
Author: Alexey Tourbin <at на altlinux>
Date: Wed Mar 26 01:14:32 2008 +0300
files.c (addFile): check that each intermediate path component is directory (not symlink)
%install
install -pD /dev/null %buildroot/etc/rc.d/init.d/functions
ln -s rc.d/init.d %buildroot/etc/init.d
%files
/etc/init.d/functions
/etc/init.d
Old behaviour:
lrwxrwxrwx 1 root root 11 Mar 26 01:15 /etc/init.d -> rc.d/init.d
-rwxr-xr-x 1 root root 0 Mar 20 18:50 /etc/init.d/functions
New behaviour:
error: File path component must be directory (/tmp/.private/at/test-buildroot/etc/init.d): /tmp/.private/at/test-buildroot/etc/init.d/functions
diff --git a/build/files.c b/build/files.c
index 35d34be..0a1451f 100644
--- a/build/files.c
+++ b/build/files.c
@@ -1661,6 +1661,31 @@ static int addFile(FileList fl, const char * diskURL,
}
}
+ /* intermediate path component must be directories, not symlinks */
+ {
+ struct stat st;
+ size_t du_len = strlen(diskURL);
+ char *du = alloca(du_len + 1);
+ char *p = du + du_len - strlen(fileURL);
+ strcpy(du, diskURL);
+ while ((p = strchr(p + 1, '/'))) {
+ *p = '\0';
+ if (Lstat(du, &st)) {
+ rpmError(RPMERR_BADSPEC, _("File not found: %s\n"), diskURL);
+ fl->processingFailed = 1;
+ return RPMERR_BADSPEC;
+ }
+ if (!S_ISDIR(st.st_mode)) {
+ rpmError(RPMERR_BADSPEC,
+ _("File path component must be directory (%s): %s\n"),
+ du, diskURL);
+ fl->processingFailed = 1;
+ return RPMERR_BADSPEC;
+ }
+ *p = '/';
+ }
+ }
+
if ((! fl->isDir) && S_ISDIR(statp->st_mode)) {
/* We use our own ftw() call, because ftw() uses stat() */
/* instead of lstat(), which causes it to follow symlinks! */
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 197 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20080326/cbaa6be7/attachment-0002.bin>
Подробная информация о списке рассылки Devel