這個漏洞只對使用了 tarfile module (Python 的 tar library) 的程式有影響,考量到 tarfile 不是一個很常用的 module,我其實覺得標題太聳動了。
changyuheng
積分 0
[Security] CVE-2007-4559: tarfile: Add absolute_path option to tarfile, disabled by default #73974 Link1
最近發現 tsrc 這個 tool,可以取代 Google AOSP 的 repo1。
tsrc 功能比較少,但我需要的功能都有,一樣可以 copy、symlink,此外 manifest 的格式也比較簡單。
repo 的驗證不嚴謹,且對 Windows 的相容性不佳。就算是在主場 Linux,我也自己修過好幾次 repo 指令 crash 的問題,有時甚至是連 repo init 拉 code 都不行;更不用說在 Windows 上的狀況,我強烈懷疑開發人員自己都沒有在 Windows 上使用。
最重要的是,repo 不支援 Git LFS 的 hook!