[Security-team] [critical] I: Xpdf again

[Vladimir Lettiev]

Dmitry V. Levin пишет:
>>>>On Fri, Dec 09, 2005 at 02:41:15PM +0300, Vladimir Lettiev wrote:
>>>
>>>>>xpdf-3.00-alt1.4 отправился в i/u/2.4/
>>>>>! Только ради проверки, для тех кто имеет доступ в incoming. Боюсь, что 
>>>>>это не окончательный вариант.
>>>>
>>>>Я тоже так думаю.
...
>>Я не в курсе, как вы делали этот патч, но Dirk Mueller, который
>>поторопился выпустить update для KDE, сделал ошибку и теперь готовит новый
>>update.  Вы, кстати, обратили внимание, что никто из вендоров (RH что-то
>>выпустил, но что именно, не совсем понятно) ещё не выпустил обновления по
>>CAN-2005-319[123]?

По мотивам http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=342292 
выясняем, что патч, который сделал апстрим - недостаточный. Дальше там 
стали спорить какой метод проверки на integer overflow более кошерный, 
но реально, g[m|re]allocn() работает и каши не просит.
Поэтому я думаю, что подход с переездом *alloc() на *allocn() оправдан, 
более того это может предотвратить в будущем обнаружить подобные 
целочисленные переполнения в других местах, где используется *alloc().

> OK, когда будете готовить новую сборку, не забудьте увеличить номер
> релиза.

xpdf-3.00-alt1.5 вновь поехал на обследование в i/u/2.4

p.s. подумал немного. лучше переспрошу.
Увеличение номера релиза это alt1.4 -> alt1.5 или alt1.4 -> alt2 ?

-- 
С уважением, Владимир Леттиев aka crux <crux на gorodmasterov.com>