STBR: mpack.spec, flex.spec (security fixes)

[Michal Moskal]

On Tue, Sep 10, 2002 at 03:58:12PM +0200, Blues wrote:
> On Tue, 10 Sep 2002, Michal Moskal wrote:
> > > Zagrozeniem jest jak widzisz flex, ktory przetwazajac zaduze stringi 
> > > wysypuje sie i zostawia jakies smieci na stosie ktore moga byc odczytane 
> > > ze stosu (bo ja wiem ? jakies pidy ? etc, etc ..), wiec zagrozenie 
> > > niedonosi sie do programow generowanych flexem.
> > Czytaj: nie jest to żadne zagrożenie.  Jedyny sensowny scenariusz, gdy
> > mogłoby to być wykorzystane do czegokolwiek poza wywaleniem flexa jest
> > gdy flex byłby uruchmiany przez jakiegoś demona.  Zauważmy, że potem
> > ten demon musiałby uruchomić kompilator.  100:1, że w gcc jest znacznie
> > więcej buffer overflow i nikt się tym nie przejmuje, ponieważ nie jest
> > to aplikacja security-critical.  Podobnie bardzo łatwo znaleźć jakiś
> > algorytm o złożoności wykładniczej i zarżnąć server.  Więc ten segv nie ma
> > *nic* wspólnego z security, to po prostu bug w programie.  Osobiście nie
> > chciałbym, żeby takie annouce pojwiały się na low-volume liście
> > security-advisories.
> 
> IMHO takie coś może się pojawić (z odpowiednim komentarzem). I dla 
> świętego spokoju lepiej, żeby się pojawiło...

O każdym programie, który robi sobie segv?!

-- 
: Michal Moskal ::::: malekith/at/pld-linux.org :  GCS {C,UL}++++$ a? !tv
: PLD Linux ::::::: Wroclaw University, CS Dept :  {E-,w}-- {b++,e}>+++ h