On Wed, Feb 29, 2012 at 01:28:45AM +0200, Led wrote:
> On Wednesday 29 February 2012 01:04:33 Dmitry V. Levin wrote:
> > On Wed, Feb 29, 2012 at 12:34:39AM +0200, Led wrote:
> > > On Wednesday 29 February 2012 00:23:16 Dmitry V. Levin wrote:
> >
> > [...]
> >
> > > > Поскольку rpmrebuild существенным образом использует rpmbuild, я считаю
> > > > этот подход небезопасным.  Используемый в rpmrebuild метод - сдампить
> > > > все необходимое в спек, а потом выполнить rpmbuild - это довольно
> > > > рискованная процедура с точки зрения выполнения произвольного кода.  В
> > > > нынешней реализации не видно попыток с этим бороться путем квотирования
> > > > всего и вся, и я, честно говоря, не уверен, что нам стоит идти этим
> > > > путем.
> > >
> > > Какой "произвольный код" может оказаться в преамбуле и секции %files
> > > спека?
> >
> > Например, любой текстовый тэг может содержать %макрос и вообще
> > произвольный %(код);
> 
> rpmrebuild экранирует все '%' в генерируемом спеке.

Он не экранирует их в секции %files.  Мы обошли это выкидыванием
из рассмотрения файлов, пути которых содержат такие символы.


-- 
ldv