Re: Fwd: [cle-devel] Security Alert! (cce and jmce)
Anthony Fok <foka@ualberta.ca> wrote:
> 以下的 cce 是 0.11 版。目前 Debian 里的 cce 是 0.36 版,但相信
> 仍有这个 buffer overflow error. 我自认功力不足,对于修正 buffer overflow
我刚才很快的看了一下 cce 里相关的部分,我认为这个 buffer overflow 已
经不存在于现在的 cce 里面了。有没有人持相同□相反意见的?
> 式内定为 setuid-root 权限,但都没有仔细检查所传入的输入法档名,造成
> console 前的一般使用者可以进而取得 root 权限。
但是 potatoe 里的 cce 已经不支援命令列指定输入法的功能了。其他的部分
所有用到命令列参数的地方都是用在和固定字串做 strcmp 以及 strdup 这两
个其中之一的地方,所以不应该会有任何 buffer overflow 的问题。 就算是
有也不会出在命令列字串上面。
所以 linuxfab 的 kid 读者似乎是慢了许多步了... ^^
-- Chuan-kai Lin
--
| This message was re-posted from debian-chinese@lists.debian.org
| and converted from big5 to gb2312 by an automatic gateway.
Reply to: