2013-02-03

Boost.Localeに脆弱性発覚ならびにBoostPro社消失

Boost.Locale security notice

Boost 1.48から1.52までのBoost.Localeライブラリには脆弱性がある。

boost::locale::utf::utf_traitsは不正なUTF-8シーケンスを受け付けてしまう。

これらの関数をUTF-8入力の検証に使うアプリケーションは、不正なUTF-8シーケンスが適正であると誤認する恐れがある。

このバグは次のBoost.1.53で修正される。

より詳しくは、#7743 (utf_traits::decode does not check for correct UTF-8 trailing bytes) – Boost C++ Librariesを参照。

Users who can't upgrade to the latest versions may apply the following patch to fix the problem.

最新のバージョンにアップグレードできないユーザーは、以下のパッチを適用して、問題の修正を行える。

http://cppcms.com/files/locale/boost_locale_utf.patch

Future of Boost Windows Installers

BoostProの出資者のDave Abrahamsが、Appleに行く事になったので、BoostPro社をたたむらしい。Boostユーザーへの直接の影響としては、Windows用のBoostの簡易インストーラーがなくなることだろう。インストーラーを構成するスクリプトなどは、boostpro/installer · GitHubで公開されるそうなので、誰かが引き継ぐかもしれない。

とはいっても、もはや不自由なWindowsに未来はないので、どうでもいいことだが。

No comments: