3．议题：atotrace包社区无人维护，CVE无解决方案的问题，鉴于该包也已经不符合软件包引入要求，申请移除。

责任人：王歌

autotrace是一个将位图转换为矢量图的工具。

该包最后一次发布版本是2002年，之后就无人维护。

近期收到了该包的50个安全漏洞，由于社区无人维护，这些CVE也都无解决方案。

 

（1）移除autotrace对其他包的影响

排查autotrace包的系统依赖，可以得出结论，只有fontforge包受到影响。

autotrace是fontforge的安装依赖

 

（2）在fontforge中去除autotrace安装依赖，验证fontforge的功能

fontforge解除autotrace依赖后，其他功能都可以正常使用，但做位图转换的autotrace插件功能消失。

 

（3）使用potrace可以代替autotrace提供的功能，为fontforge提供位图转换功能

 

（4）epol仓不存在对autotrace的依赖

 

（5）SP1分支引入potrace不需新增依赖关系

 

（6）其他厂商autotrace包信息

    openSUSE

      代码版本：0.31.1

      与openEuler的差异：源码包版本相同，缺少6个补丁

    fedora (f33)

      代码版本：0.31.1

      与openEuler的差异：无

    centOS(8.3)

        代码版本：0.31.1

      与openEuler的差异：无

 

 

 

1．  评审议题：sleuthkit oss-fuzz 堆缓冲溢出

责任人：凌笙

问题进展：

问题2经过分析发现可能是误报，申请评审。

经过gdb调试发现堆空间分配大小实际不是1字节，而是分配了attrFile.nodeSize大小字节，gdb调试打印attrFile.nodeSize值为2570。

强制类型转换指针为结构体指针后，访问结构体成员type，oss-fuzz认为此时发生堆缓冲溢出，实际type成员地址仍在堆分配内存中，不存在溢出现象。

 

typedef struct {

    uint8_t flink[4];           /* node num of next node of same type */

    uint8_t blink[4];           /* node num of prev node of same type */

    int8_t type;                /* type of this node */

    uint8_t height;             /* level in B-tree (0 for root, 1 for leaf) */

    uint8_t num_rec[2];         /* number of records this node */

    uint8_t res[2];             /* reserved */

} hfs_btree_node;

 

2．  议题：gdm重启报错

责任人：孙国帅

问题分析：

           初步判定为gdm的bug，kill掉gdm的主进程之后，虽然gdm服务会重新启动，但是不会恢复当前的gdm界面，导致用户无法使用当前界面登录。

规避方案：

           （1）重启后即可正常登录

（2） 使用Ctrl-Alt-（F2-F6）切换到其它consloe登录

 

12/15会议冲突取消(对大家工作造成影响深表歉意)，以下为明天会议通知，请大家以邮件方式上报议题。

 

openEuler sig-release-management SIG 邀请您参加 2020-12-16 16:00 召开的ZOOM会议

会议主题：openEuler 20.03 LTS SP1 系统诊断会议

会议链接：https://zoom.us/j/97394171115?pwd=QklPL3I1M1JaQzd5UVN2U2dYR014QT09

会议纪要：https://etherpad.openeuler.org/p/openEuler-20.03-LTS-SP1-systemakut

 

 

请大家以邮件的方式反馈议题