[Security-team] [critical] I: Xpdf again
Vladimir Lettiev
crux на gorodmasterov.com
Пн Дек 12 20:25:12 MSK 2005
Dmitry V. Levin пишет:
>>>>On Fri, Dec 09, 2005 at 02:41:15PM +0300, Vladimir Lettiev wrote:
>>>
>>>>>xpdf-3.00-alt1.4 отправился в i/u/2.4/
>>>>>! Только ради проверки, для тех кто имеет доступ в incoming. Боюсь, что
>>>>>это не окончательный вариант.
>>>>
>>>>Я тоже так думаю.
...
>>Я не в курсе, как вы делали этот патч, но Dirk Mueller, который
>>поторопился выпустить update для KDE, сделал ошибку и теперь готовит новый
>>update. Вы, кстати, обратили внимание, что никто из вендоров (RH что-то
>>выпустил, но что именно, не совсем понятно) ещё не выпустил обновления по
>>CAN-2005-319[123]?
По мотивам http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=342292
выясняем, что патч, который сделал апстрим - недостаточный. Дальше там
стали спорить какой метод проверки на integer overflow более кошерный,
но реально, g[m|re]allocn() работает и каши не просит.
Поэтому я думаю, что подход с переездом *alloc() на *allocn() оправдан,
более того это может предотвратить в будущем обнаружить подобные
целочисленные переполнения в других местах, где используется *alloc().
> OK, когда будете готовить новую сборку, не забудьте увеличить номер
> релиза.
xpdf-3.00-alt1.5 вновь поехал на обследование в i/u/2.4
p.s. подумал немного. лучше переспрошу.
Увеличение номера релиза это alt1.4 -> alt1.5 или alt1.4 -> alt2 ?
--
С уважением, Владимир Леттиев aka crux <crux на gorodmasterov.com>
Подробная информация о списке рассылки Security-team