Re: Fwd: [cle-devel] Security Alert! (cce and jmce)
Anthony Fok <foka@ualberta.ca> wrote:
> 以下的 cce 是 0.11 版。目前 Debian 裏的 cce 是 0.36 版,但相信
> 仍有這個 buffer overflow error. 我自認功力不足,對於修正 buffer overflow
我剛才很快的看了一下 cce 裡相關的部分,我認為這個 buffer overflow 已
經不存在於現在的 cce 裡面了。有沒有人持相同∕相反意見的?
> 式內定為 setuid-root 權限﹐但都沒有仔細檢查所傳入的輸入法檔名﹐造成
> console 前的一般使用者可以進而取得 root 權限。
但是 potatoe 裡的 cce 已經不支援命令列指定輸入法的功能了。其他的部分
所有用到命令列參數的地方都是用在和固定字串做 strcmp 以及 strdup 這兩
個其中之一的地方,所以不應該會有任何 buffer overflow 的問題。 就算是
有也不會出在命令列字串上面。
所以 linuxfab 的 kid 讀者似乎是慢了許多步了... ^^
-- Chuan-kai Lin
Reply to: