Boost 1.48から1.52までのBoost.Localeライブラリには脆弱性がある。
boost::locale::utf::utf_traitsは不正なUTF-8シーケンスを受け付けてしまう。
これらの関数をUTF-8入力の検証に使うアプリケーションは、不正なUTF-8シーケンスが適正であると誤認する恐れがある。
このバグは次のBoost.1.53で修正される。
より詳しくは、#7743 (utf_traits::decode does not check for correct UTF-8 trailing bytes) – Boost C++ Librariesを参照。
Users who can't upgrade to the latest versions may apply the following patch to fix the problem.最新のバージョンにアップグレードできないユーザーは、以下のパッチを適用して、問題の修正を行える。
Future of Boost Windows Installers
BoostProの出資者のDave Abrahamsが、Appleに行く事になったので、BoostPro社をたたむらしい。Boostユーザーへの直接の影響としては、Windows用のBoostの簡易インストーラーがなくなることだろう。インストーラーを構成するスクリプトなどは、boostpro/installer · GitHubで公開されるそうなので、誰かが引き継ぐかもしれない。
とはいっても、もはや不自由なWindowsに未来はないので、どうでもいいことだが。
No comments:
Post a Comment