docbook-utils/gnome-doc-tools - gdp-both.dsl i security

Jakub Bogusz qboosh w pld.org.pl
Czw, 13 Lut 2003, 12:33:27 CET


On Tue, Jan 28, 2003 at 02:03:28PM +0100, Artur Frysiak wrote:
> On Tue, Jan 28, 2003 at 01:04:12PM +0100, Jakub Bogusz wrote:
> > Za bugs.pld.org.pl:
> > http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0169
> > 
> > Ta niebezpieczna opcja to use-id-as-filename - włączona od:
> > (plik jest instalowany z docbook-utils jako docbook-utils*.dsl)
> > 
> > $ ccvs log  gdp-both.dsl
> > RCS file: /home/cvsroot/PLD/SOURCES/gdp-both.dsl,v
> > Working file: gdp-both.dsl
> > head: 1.2
> > [...]
> > ----------------------------
> > revision 1.2
> > date: 2002/05/29 13:05:31;  author: wiget;  state: Exp;  lines: +1 -1
> > use id as filename (required by sgmldocs.make)
> 
> Generuje index.sgml czy coś takiego, bez tego parametru nie działa.
> 
> > Czy ten problem jest już wyeliminowany i można opcję wyłączyć?
> 
> Niestety nie wiem :(

Sprawdziłem na evolution i galeonie (akurat to się znalazło pod ręką po
`locate sgmldocs.make`).
Po wyłączeniu use-id-as-filename w evolution w help/ zamiast index.html
buduje się book1.html, a reszta plików ma nazwy typu a3850.html, co
oczywiście nie działa.
Żeby działało trzeba dodać "-V '%use-id-as-filename%=#t'" do wywołania
programu jw (lub db2html, gdyby jw nie było).

W galeonie niezależnie od use-id-as-filename dokumentacja się nie
przebudowuje (setki błędów jade, może brakuje jakiegoś arkusza; inna
rzecz, że w evolution też błędów wyświetla...).

W RH nie znalazłem żadnych poprawek na to - w evolution dokumentacja
chyba nie jest przebudowywana, instalowane są gotowe pliki .html
z pakietu.

> > Druga rzecz - plik gdp-both.dsl w nieco innej wersji, ale też
> > z włączonym use-id-as-filename jest w pakiecie gnome-doc-tools.
>  
> /usr/share/gtk-doc/gtk-doc.dsl też ma ten problem.
> tzn ma ustawione use-id-as-filename na #t

To może nie być dużym problemem, bo nie są to domyślne arkusze.
W advisory chodziło chyba o to, że taką potencjalnie niebezpieczną opcję
zawiera domyślny arkusz.


-- 
Jakub Bogusz    http://www.cs.net.pl/~qboosh/



Więcej informacji o liście dyskusyjnej pld-devel-pl