]> Zhao Yanbai Git Server - minix.git/commit
patch(1): fix arbitrary code execution bug 39/3039/1
authorDavid van Moolenbroek <david@minix3.org>
Sun, 26 Jul 2015 15:47:05 +0000 (15:47 +0000)
committerDavid van Moolenbroek <david@minix3.org>
Sun, 26 Jul 2015 15:53:47 +0000 (15:53 +0000)
commitd8127f841f370c290f11352f513f005cb8c59e40
tree6891bbd911ef95fe656863ec78d0f80c2b5cab97
parent4796287659dbd9546688588ed43610eda23d9156
patch(1): fix arbitrary code execution bug

This is the combination of two NetBSD patches committed by Christos
Zoulas, based on the findings and Bitrig patch by Martin Natano.
The NetBSD log messages read:

  From Martin Natano @bitrig: Use execve(2) instead of system to
  apply patches that require rcs command execution instead system(3)
  to avoid malicious filenames in patches causing bad things to
  happen. In the process, lose SCCS support. It is not like we are
  shipping sccs commands for that to work.

And:

  Use absolute paths for RCS commands (Martin Natano)

Change-Id: Id44bd59a5a6bc6cd95d1e1fae468bd718cfff2db
usr.bin/patch/common.h
usr.bin/patch/inp.c