* Re: [devel] [git update] packages/gear: tags/compound_subst_stable @ 2007-08-28 7:17 ` Dmitry V. Levin 2007-08-28 16:41 ` Alexey I. Froloff 0 siblings, 1 reply; 3+ messages in thread From: Dmitry V. Levin @ 2007-08-28 7:17 UTC (permalink / raw) To: Aleksey Morozov; +Cc: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 922 bytes --] On Tue, Aug 28, 2007 at 03:00:30AM +0400, Aleksey Morozov wrote: > Update of /people/morozov/packages/gear.git [...] > Full diff since `1.2.5-alt1' follows: [...] > --- a/gear-sh-functions.in > +++ b/gear-sh-functions.in [...] > get_NVR_from_spec() > { > local spec="$1" && shift > + local arg=${rpm_rclist:--q} # extra -q does't affect anything > > - spec_name="$(sed '/^name:[[:space:]]*/I!d;s///;q' "$spec")" > - spec_version="$(sed '/^version:[[:space:]]*/I!d;s///;q' "$spec")" > - spec_release="$(sed '/^release:[[:space:]]*/I!d;s///;q' "$spec")" > + spec_name=$($RPM "$arg" -q --qf '%{NAME}' --specfile "$spec") > + spec_version=$($RPM "$arg" -q --qf '%{VERSION}' --specfile "$spec") > + spec_release=$($RPM "$arg" -q --qf '%{RELEASE}' --specfile "$spec") Это изменение противоречит архитектуре gear. rpmquery --specfile даёт возможность выполнить произвольный код. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [devel] [git update] packages/gear: tags/compound_subst_stable 2007-08-28 7:17 ` [devel] [git update] packages/gear: tags/compound_subst_stable Dmitry V. Levin @ 2007-08-28 16:41 ` Alexey I. Froloff 2007-08-28 16:48 ` Alexey Tourbin 0 siblings, 1 reply; 3+ messages in thread From: Alexey I. Froloff @ 2007-08-28 16:41 UTC (permalink / raw) To: ALT Devel discussion list; +Cc: Aleksey Morozov [-- Attachment #1: Type: text/plain, Size: 633 bytes --] * Dmitry V. Levin <ldv@> [070828 11:25]: > > + spec_name=$($RPM "$arg" -q --qf '%{NAME}' --specfile "$spec") > > + spec_version=$($RPM "$arg" -q --qf '%{VERSION}' --specfile "$spec") > > + spec_release=$($RPM "$arg" -q --qf '%{RELEASE}' --specfile "$spec") > Это изменение противоречит архитектуре gear. > rpmquery --specfile даёт возможность выполнить произвольный код. К тому же при недостатке зависимостей rpmquery может просто не суметь распарсить спек. Но на самом деле очень неудобно, что в gear-rules нельзя использовать полупроизвольные токены, типа svnrev, cvsdate и им подобных... -- Regards, Sir Raorn. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [devel] [git update] packages/gear: tags/compound_subst_stable 2007-08-28 16:41 ` Alexey I. Froloff @ 2007-08-28 16:48 ` Alexey Tourbin 0 siblings, 0 replies; 3+ messages in thread From: Alexey Tourbin @ 2007-08-28 16:48 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 1015 bytes --] On Tue, Aug 28, 2007 at 08:41:58PM +0400, Alexey I. Froloff wrote: > * Dmitry V. Levin <ldv@> [070828 11:25]: > > > + spec_name=$($RPM "$arg" -q --qf '%{NAME}' --specfile "$spec") > > > + spec_version=$($RPM "$arg" -q --qf '%{VERSION}' --specfile "$spec") > > > + spec_release=$($RPM "$arg" -q --qf '%{RELEASE}' --specfile "$spec") > > Это изменение противоречит архитектуре gear. > > rpmquery --specfile даёт возможность выполнить произвольный код. > К тому же при недостатке зависимостей rpmquery может просто не > суметь распарсить спек. > > Но на самом деле очень неудобно, что в gear-rules нельзя > использовать полупроизвольные токены, типа svnrev, cvsdate и им > подобных... Произвольные токены из %define в спеке? Я об этом думал. https://bugzilla.altlinux.org/show_bug.cgi?id=12387 Нужно уметь очень корректно распарсить %define, потому что последующий define отменяет предыдущий %define (точнее, перекрывает). А последующий %define можно попробовать оформить очень нестандартно. [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 3+ messages in thread
end of thread, other threads:[~2007-08-28 16:48 UTC | newest] Thread overview: 3+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2007-08-28 7:17 ` [devel] [git update] packages/gear: tags/compound_subst_stable Dmitry V. Levin 2007-08-28 16:41 ` Alexey I. Froloff 2007-08-28 16:48 ` Alexey Tourbin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git