"Bugs" connus et limitations de LXR

"Bugs" connus

Vulnérabilité JVN#72589538 - CVE 2018-0545

Japan Computer Emergency Response Team (JPCERT) a rendu compte en mars 2018 de la découverte d'une vulnérabilité pendant l'été 2017 par Touma Hatano (波多野冬馬 氏). Cette vulnérabilité permet l'exécution de commandes arbitraires avec une chaîne soigneusement élaborée soumise via le formulaire General Search.

Cette vulnérabilité affecte toutes les versions de LXR avec fonction de recherche en plein texte activée depuis la version 1.0.0.

Il est vivement recommandé aux utilisateurs proposant des serveurs LXR visibles depuis l'internet d'effectuer la mise à jour pour se protéger contre cette vulnérabilité.

"Bugs" relatifs aux utilitaires

• Codage UTF-8

  Les interpréteurs Perl récents deviennent de plus en plus stricts vis-à-vis de la validité des séquences UTF-8 multi-octets. LXR a parfois besoin d'examiner le contenu d'un fichier avant de décider s'il va le traiter ou non. Si ce fichier ne contient pas du texte (c'est une image ou un binaire), il est fort probable que des suites d'octets ne forment pas une séquence UTF-8 valide. Dans ce cas, Perl émet une erreur fatale.

  La version 2.1.0 essaye de faire face à ce problème en "interrogeant" le fichier avec File::MMagic quand le "filtre sur extension" a échoué. Notez que le filtrage par l"extension a priorité et donnera un résultat erroné si l'extension de fichier ne correspond pas au contenu habituel. Cet ordre a été adopté parce que File::MMagic effectue des E/S qui auraient un impact néfaste en performance sur les gros arbres comme le noyau Linux.
• Serveur web Apache

  Depuis 2018, nombre de distributions Linux considèrent le module MPM event suffisamment stable pour l'activer par défaut. LXR ne connaissait que prefork et worker. event désorganise l'initialisation d'Apache par LXR, causant une internal error 500 ou, au mieux, l'affichage des scripts LXR en tant que texte.

  De plus, event ne semble pas compatible avec mod_perl imposant de revenir à un traitement CGI pur.

  Corrigé en version 2.3.3
• Distributions à base Debian (y compris Ubuntu) Ubuntu présente une configuration par défaut originale qui perturbe le fonctionnement de LXR. Ceci ne constitue pas un "bug" en soi mais nécessite des réglages particuliers. Ils sont décrits dans cette page.
  • Répertoire de travail

    Debian semble ne pas établir corectement le répertoire de travail au lancement d'un script CGI. En conséquence, les désignations relatives de fichier qui attendent que le répertoire de travail soit le répertoire racine de LXR seront erronées et une erreur "file not found" sera affichée.

    Le script de configuration a été modifié en version 2.0.3 pour toujours utiliser des chemins absolus. NOTE: ce bug est peut-être spécifique d'Apache, car il n'a été signalé qu'avec Apache.

  • Serveur Apache

    Un fichier de configuration dépend du module Apache mod_version mais Ubuntu Apache (au moins sous Ubuntu 12.04 LTS) ne charge pas le module par défaut. Pour l'activer, exécutez la commande suivante:

    $ sudo a2enmod version

    et relancez le serveur.

  • Modèles introuvables (affichage perturbé)

    Quand les scripts LXR sont lancés, le répertoire de travail n'est pas positionné sur le répertoire racine de LXR. Les chemins de fichiers en forme relative dans lxr.conf ne peuvent donc pas être résolus correctement.

    Pour régler le problème, éditez custom.d/lxr.conf, "HTML subsection" et ajoutez le chemin absolu du répertoire racine de LXR devant toutes les désignations des modèles HTML. Quand c'est fait, copiez le fichier modifé à sa destination finale comme d'habitude.

    NE MODIFIEZ PAS les paramètres 'stylesheet' et 'alternate_stylesheet' qui ne sont pas des chemins de fichier mais des références HTML. Corrigé en 2.0.0. Ce "bug" peut également être lié à Apache. À partir de la version 2.0.3, la correction est incluse dans le traitement Debian.
• MySQL
  • Moteur de stockage par défaut

    À partir de MySQL 5.5.5, le moteur de stockage par défaut devient InnoDB au lieu de MyISAM. Malgré (ou en raison de) une amélioration de la fiabilité des transactions, les performances ont été particulièrement dégradées: le temps d'indexation par genxref est maintenant deux fois plus long.

    La version 1.0 demande explicitement le moteur MyISAM.
• PostgreSQL
  • Mode de connexion

    PostgreSQL offre plusieurs méthodes de connexion à une base de données. Celle par défaut utilise les sockets Unix. Dans des circonstances mal élucidées, la bibliothèque Perl de base de données peut ne pas réussir à accéder à la base de LXR. Le palliatif est de demander explicitement la méthode d'accès par TCP en ajoutant à la fin du paramètre de configuration 'dbname':

    ;host=localhost La version 1.0 est modifiée pour employer la méthode d'accès TCP. Si les sockets Unix fonctionnent pour vous, ôtez le sous-paramètre host=.
• Langages gérés

  Beaucoup de descriptions de langage sont erronées ou, au mieux, incomplètes. Seuls C, C++ et Perl peuvent être considérés comme fiables.

  Le mainteneur actuel ne maîtrise pas tous les langages. N'hésitez pas à signaler des "bugs".
• Identificateurs non mis en valeur

  Ce n'est pas strictement un "bug" de LXR. ctags se sert d'analyseurs rudimentaires pour les langages secondaires (lisez: hormis C et C++). Ces analyseurs n'implémentent pas la grammaire complète du langage.

• Accès aux dépôts Git
  • Ne fonctionne absolument pas. Le module de la bibliothèque CPAN n'est pas correct. Corrigé en 1.0
  • Sous certaines distributions, une dépendance implicite non satisfaite empêche l'affichage des fichiers.
  • La fonction 'range' incorrecte dans lxr.conf provoque la perte des étiquettes (tags) de version. Corrigés en 2.0.1

"Bugs" de version

• RVersions 2.3.3 et 2.3.4 - indexation glimpse dans genxref

  La correction de 2.3.3 ne tient pas compte de tous les cas possibles et provoque l'échec de l'indexation dans certaines circonstances.

  Corrigé en version 2.3.5
• RVersions antérieures à 2.3.4 - boucle sans fin lors de la construction des hyperliens d'un chemin mal formé d'une instruction de type include

  Bien que les OS acceptent des chemins comportant plusieurs séparateurs d'affilée, LXR n'attend qu'un seul séparateur et un nom de fragment non vide entre les séparateurs.

  Corrigé en version 2.3.4, gère cette mauvaise notation
• Versions 2.2.0 to 2.3.2 - indexation glimpse dans genxref

  Une gestion incorrecte de l'indexation hors-ligne (pour permettre un service sans interruption sur les gros arbres) aboutit à une inclusion récursive des bases de données de glimpse dans le répertoire d'indexation, provoquant son embonpoint lors des indexations incrémentales.

  Corrigé en version 2.3.3

  Pour vous débarasser des bases de données superflues, lancez genxref avec l'option --reindexall.

• Versions 1.2.0 à 2.3.1 - gestion de l'instruction include

  En certaines circonstances, le chemin d'un fichier inclus (dans des instructions comme #include en C ou import et from en Python) n'était pas correctement adapté pour y ajouter des hyperliens ce qui aboutissait à une boucle sans fin.

  Corrigé en 2.3.2; mise à jour très vivement recommendée aux utilisateur de Python qui sont plus vulnérables
• Version 2.2.0
  • Utilitaire de configuration configure-lxr.pl

    Une confusion malheureuse entre des variables rend le script non compilable.

    Corrigé en 2.2.1; mise à jour obligatoire
  • Apache

    Les distributions Ubuntu récentes (problème signalé avec 16.10 Server) utilisent le module Apache MPM Event, alors que le fichier LXR de configuration .htaccess ne teste que la présence de Prefork et Worker. Ce choix de module n'est probablement pas spécifique à Ubuntu et peut se retrouver dans d'autres distributions, au moins celles basées sur Debian.

    Comme seul Prefork nécessite une initialisation spécifique et qu'il n'y a pas de documentation détillée sur Event, il a été décidé d'initialiser tous les modules MPM de la même façon à l'exception de Prefork.

    Corrigé en 2.2.1, mais n'hésitez pas à signaler les problèmes si la correction n'est pas satisfaisante
• Version 1.1.0
  • L'analyseur Java traite partiellement l'instruction import

    Si votre code Java contient des instructions import static, l'analyseur échoue sur le mot-clef static et entre en boucle ce qui fige l'écran sur la ligne précédente.

    Corrigé en 2.0.0
  • L'analyseur HTML peut boucler indéfiniment Bug présent également dans la version 1.0.0

    Lors d'une tentative de création d'hyperlien sur des éléments <A> ou <IMG>, l'analyse HTML dérivée du générique peut échouer et ne pas se rattraper, conduisant à une boucle infinie. Cet analyseur n'est pas non plus protégé contre les URI "externes" (comme http://…) où la double barre oblique est comprise comme un élément vide de chemin.

    Corrigé en 1.2.0 par l'implémentation d'un analyseur dédié.
  • En fonction de la version de l'interpréteur Perl, la recherche d'identificateur peut donner lieu à erreur

    Deux lignes (419 et 485) dans ident utilisent une syntaxe Perl approximative au lieu d'un code strict. Le commentaire du bug #233 indique un correctif.

    Corrigé en 1.2.0

Limitations

• Répertoire templates/

  À partir de la version 0.11, ce répertoire passe en "lecture seule" pour décourager d'y effectuer des modifications. Il constitue ainsi une référence fiable pour les fichiers hébergés. Toute personnalisation de LXR doit être effectuée dans le répertoire custom.d/ (lxrconf.d/ avant la version 1.0).

  Conséquence: tout fichier extrait de templates/ est marqué "lecture seule" et ses permissions doivent être ajustées avant de lui faire subir des modifications. $ cp templates/un_fichier custom.d/ $ chmod u+w custom.d/un_fichier
• Systèmes de gestion de version (Version control systems: CVS, Git, …)

  La recherche en plein texte n'est pas possible en raison du format particulier de la base de données VCS (comprenez: ce ne sont pas des fichiers ordinaires).

• Répertoires sous CVS

  CVS ne gère pas de version de répertoire. Si vous changez pour une version autre que HEAD, vous obtenez le message d'erreur redouté "file does not exist".

• Fonctionnement sous Mercurial
  • Des fichiers peuvent apparaître à tort vides dans certaines révisions
  • Listage de répertoire extrêmement lent

    Environ 0,5 seconde par ligne (sur un processeur à 3.4 GHz!); mais ne jetez pas la pierre à Mercurial, quelque chose ne va pas dans le code LXR interfaçant le système.

    SVP, aidez à améliorer les performances.
• Analyseurs de langage

  Ils n'ont pas la qualité de ceux des compilateurs (ils sont très rudimentaires). Ils se contentent d'extraire de façon lexicale des séquences de caractères qui ressemblent à des identificateurs (sans tenir compte de leur sémantique).

  • Analyseur générique (actuellement utilisé pour tous les langages)

    Ignore un éventuel sigil lors de l'assemblage des identificateurs. Cela aboutit à la même décoration de symboles avec des rôles différents.

    Des sigils sont utilisés en Perl pour distinguer les fonctions, variables simples, tableaux et hashes. De même, en PHP, les variables sont préfixées d'un $ tandis que les fonctions n'ont pas de préfixe.

    Ignore la classification des identificateurs puisqu'il ne traite pas la sémantique. Ceci aboutit aussi à une confusion des symboles avec des rôles différents.

    En HTML, les tags et attributs avec un symbole identique ont la même décoration.
  • HTML

    Les références URI reçoivent un hyperlien seulement si elles désignent un autre document dans l'arbre-source.

    L'analyseur est facilement perturbé si la partie textuelle (en dehors des balises HTML) contient des apostrophes ou des guillemets. Ceci provoque une situation désynchronisée.

  • Perl

    En raison d'une limitation de ctags, seules les sub (et pas une variable) sont indexées. Les variables sont accidentellement décorées si leur nom, sans le sigil, est le même que celui d'une fonction.

    La présence de caractères tel que #, ' ou " dans les motifs causeront probablement des situations désynchronisées.

  • PHP

    include ou require recevront des hyperliens vers le fichier-cible seulement si le nom est une chaîne relative à la racine de l'arbre-source. Le nom ne peut pas non plus contenir d'apostrophes (') ou des guillemets (").

  • Python

    Les inclusions multiples par une seule instruction import ou from ne sont pas traitées.

• Marquage des différences
  • Interface lien

    Vous pouvez comparez deux fichiers différant seulement par une seule variable.

  • Interface boutons-et-menus

    Vous pouvez comparer deux fichiers différant par autant de variables que vous voulez à conditions de fixer la valeur des variables avant de cliquer sur le bouton "Change".

  • Changement de la valeur d'une variable pendant l'affichage des différences

    Les nouvelles différences sont calculées entre la version la plus récemment sélectionnée et la nouvelle, pas entre la version initiale (celle active au moment du clic sur le lien "diff markup") et la nouvelle.