Namazu-devel-ja(旧)

[knok@xxxxxxxxxxxxx (NOKUBI Takatsugu)]

  反応が遅くなってすいません。2日程出張で留守してました。その間に問題
のないことを確認して今日ぐらいにもリリース、と考えていたのですが... 甘
かったです。

<20011218231817N.furukawa@xxxxxxxxxxxx>の記事において
furukawa@xxxxxxxxxxxxさんは書きました。

>> という部分がありますが、strncpy が BUFSIZE で切られた場合
>> には、終端文字が無いので、直後の strlen がさらに後ろを読も
>> うとしてしまうと思います。

  最低限任意の binary をつっこめられなければ exploit はされないかな、
と思ってかなり手を抜きました... やっぱり改めないとダメですね。

<200112190340.MAA04739@xxxxxxxxxxxxxxx>の記事において
raeva@xxxxxxxxxxxxさんは書きました。

>> これ、strncpy(), strncat()を使うのはやめて、strlcpy(),
>> strlcat()を使うようにしたらどうですか? strlcpy.c, strlcat.c
>> のソースがopenbsd.orgから入手できます。
>> <ftp://ftp.openbsd.org/pub/OpenBSD/src/lib/libc/string/>
>> #ライセンス的には問題ないですよね?

  modified BSD style のようなので、問題はないとは思います... ただ、で
きれば異なるライセンスのものを複数含むのは個人的には避けたいです。

# ライセンス的にはさらに縛りが増えるわけですし。あと常に upstream の変
# 更を気にする必要が出てくるのも結構大変だと思います。まあこの程度の内
# 容のものはそうそう変わることもないとは思いますけど。

  もし採用するとしたら、複数の異なるライセンスの取り扱いをどうするが、
ということをきちんと決めた上で採用する、という形にしたいです。将来の検
討課題ということにして、とりあえず今回のリリースではやめておきませんか?
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx
	knok@xxxxxxxxxx / knok@xxxxxxxxxx