3.议题:atotrace包社区无人维护,CVE无解决方案的问题,鉴于该包也已经不符合软件包引入要求,申请移除。

责任人:王歌

autotrace是一个将位图转换为矢量图的工具。

该包最后一次发布版本是2002年,之后就无人维护。

近期收到了该包的50个安全漏洞,由于社区无人维护,这些CVE也都无解决方案。

 

1)移除autotrace对其他包的影响

排查autotrace包的系统依赖,可以得出结论,只有fontforge包受到影响。

autotracefontforge的安装依赖

 

2)在fontforge中去除autotrace安装依赖,验证fontforge的功能

fontforge解除autotrace依赖后,其他功能都可以正常使用,但做位图转换的autotrace插件功能消失。

 

3)使用potrace可以代替autotrace提供的功能,为fontforge提供位图转换功能

 

4epol仓不存在对autotrace的依赖

 

5SP1分支引入potrace不需新增依赖关系

 

6)其他厂商autotrace包信息

    openSUSE

      代码版本:0.31.1

      openEuler的差异:源码包版本相同,缺少6个补丁

    fedora (f33)

      代码版本:0.31.1

      openEuler的差异:无

    centOS(8.3)

        代码版本:0.31.1

      openEuler的差异:无

 

 

发件人: xiasenlin
发送时间: 20201216 14:22
收件人: 'Hufeng (Solar, Euler)' <solar.hu@huawei.com>; tc@openeuler.org; dev@openeuler.org; release@openeuler.org; qa@openeuler.org; sa-announce@openeuler.org
主题: 申报议题

 

1.  评审议题:sleuthkit oss-fuzz 堆缓冲溢出

责任人:凌笙

问题进展:

问题2经过分析发现可能是误报,申请评审。

经过gdb调试发现堆空间分配大小实际不是1字节,而是分配了attrFile.nodeSize大小字节,gdb调试打印attrFile.nodeSize值为2570

强制类型转换指针为结构体指针后,访问结构体成员typeoss-fuzz认为此时发生堆缓冲溢出,实际type成员地址仍在堆分配内存中,不存在溢出现象。

 

typedef struct {

    uint8_t flink[4];           /* node num of next node of same type */

    uint8_t blink[4];           /* node num of prev node of same type */

    int8_t type;                /* type of this node */

    uint8_t height;             /* level in B-tree (0 for root, 1 for leaf) */

    uint8_t num_rec[2];         /* number of records this node */

    uint8_t res[2];             /* reserved */

} hfs_btree_node;

 

2.  议题:gdm重启报错

责任人:孙国帅

问题分析:

           初步判定为gdmbugkillgdm的主进程之后,虽然gdm服务会重新启动,但是不会恢复当前的gdm界面,导致用户无法使用当前界面登录。

规避方案:

           1)重启后即可正常登录

2 使用Ctrl-Alt-F2-F6)切换到其它consloe登录

发件人: Hufeng (Solar, Euler) [mailto:solar.hu@huawei.com]
发送时间: 20201215 15:09
收件人: tc@openeuler.org; dev@openeuler.org; release@openeuler.org; qa@openeuler.org; sa-announce@openeuler.org
主题: [Dev] 12/15会议冲突取消【会议时间】 openEuler 20.03 LTS SP1 系统诊断会议 2020-12-16 16:00~17:30

 

12/15会议冲突取消(对大家工作造成影响深表歉意),以下为明天会议通知,请大家以邮件方式上报议题。

 

openEuler sig-release-management SIG 邀请您参加 2020-12-16 16:00 召开的ZOOM会议

会议主题:openEuler 20.03 LTS SP1 系统诊断会议

会议链接:https://zoom.us/j/97394171115?pwd=QklPL3I1M1JaQzd5UVN2U2dYR014QT09

会议纪要:https://etherpad.openeuler.org/p/openEuler-20.03-LTS-SP1-systemakut

 

 

请大家以邮件的方式反馈议题