[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
How about updating archivers/lha?
おばた ナノです。
現在の archivers/lha ですが、直接触れられていないのですが、
CVE-2006-4335, CVE-2006-4337, CVE-2006-4338 に関係するコードが
含まれているようです。
現在使用している 岡本継男氏メンテナンスバージョンは長い間更新されていない
ようで、2004年頃のセキュリティ等の問題に対するものもリリースされていません。
(CAN-2004-0769, CAN-2004-0771, CAN-2004-0694, CAN-2004-0745
パッチはpkgsrcには入ってる?)
このあたり、autoconfiscated version (http://lha.sourceforge.jp/)では
対応されているのですが、どうしたもんがいいでしょうか?
1. 現在のlhaにパッチを追加
2. autoconfiscated version に切り替え
(FreeBSD の ports は両方を持っていますが、更新されていないようです。)
2つの違いは、
機能追加
* autoconf/automake による Makefile の自動生成
* 日本語ファイル名のサポート
* UNIX 拡張ヘッダ(ユーザ名/グループ名)やレベル 3 ヘッダ(展開のみ、拡張ヘッダは未対応)のサポート
* 圧縮時に特定ファイルを対象から除去する -x オプション
* large files サポート
* MacLHA 形式アーカイブの展開時にリソースフォークを破棄する -b オプション
* セキュリティホールを含むいくつかのバグ修正
仕様変更
* 標準入力から展開するファイルを指定できなくなった
* アーカイブ変更時にバックアップファイルが作られなくなった
* アーカイブ作成時のデフォルトのヘッダレベルが 2 に変更された(1.14i では 1 がデフォルト)
というところのようです。
私自体はlzhを展開するのに使ってるぐらいで、そんなに使い込んでいないので
わからないのですが、仕様変更部分が受け入れられるかどうかだと思います。
--
お役に立てない(^^;
OBATA Akio / obata@lins.jp
せかいは ひろがる ちきゅーは まわる。