gentoo: где патч на perl?

Спроси в техподдержке Gentoo.

dev-lang/perl
     Available versions:  5.40.0-r1(0/5.40) ~5.40.1(0/5.40) ~5.40.2(0/5.40)

Так вон же, есть 5.40.2

Для этого я должен специально руками поставить эту версию и поломать тем самым кучу зависимостей. Ну и самое главное - я должен быть в курсе уязвимости. Так дела не делаются

засинкай базу и обнови мир (как делает 90% юзеров) - уязвимость останется

генту

Так дела не делаются

gentoorulz

штоямогусказать… choose wisely 😊

Я и без этих действий вижу, что пакет в тестовой ветке.

Ну и самое главное - я должен быть в курсе уязвимости. Так дела не делаются

Ну я до этого треда был не в курсе, а теперь в курсе, но мне все равно, обновлять или патчить в ручную не буду.

Нужно правильно выбирать инструмент под задачи.

Вот кстати патч

А в чём тогда проблема? Кладёшь его в /etc/portage/patches/dev-lang/perl и пересобираешь.

https://wiki.gentoo.org/wiki//etc/portage/patches

так я так и сделал, вопрос чем ментейнеры занимаются так долго

только не /etc/portage/patches/dev-lang/perl, а /etc/portage/patches/dev-lang/perl-5.40.0-r1

Так напиши баг репорт. Который уже кстати есть https://bugs.gentoo.org/953821. Удивляют подобные требования.

Что взять со школьника-то?!.

вопрос чем ментейнеры занимаются так долго

Работают, отдыхают, живут, в общем. А в свободное время, когда есть настроение, обновляют пакеты. Ты же им не платишь за работу.

Очевидно тут https://bugs.gentoo.org/show_bug.cgi?id=953821

где патч на perl?

Вот же он, в посте! Разве не видишь? (%

А почему его нет в генте… ну, а ты его туда запостил? (%

Удивляют подобные требования.

«ТЫ МНЕ ДОЛЖЕН!!!!!11» Другого потребитель не знает. А то что он ещё и халявщик… нутыпонел.

Мне кажется правильный патч тут другой, примерно такой: emerge -C perl

Проблема проявляется в стабильных релизах Perl начиная с 2021 года и затрагивает ветки Perl 5.34, 5.36, 5.38 и 5.40.

Как хорошо что меня не затронуло. Везде либо нет перла вообще, либо 5.32, либо 5.16 даже. Ну и даже там где он есть, он скорее всего не используется.

Его так просто не удалить, нужен для сборки каких-то системных пакетов.

Интересно как ты себе это представляешь? Попытался сюда вставить вывод equery d perl и лор запретил отправлять такое длинное сообщение

Ну, к идеалу надо стремиться, а прям сразу его реализовать затруднительно, да. Линукс-дистры обычно так или иначе прибиты гвоздями к перлу, и нужно работать для того чтоб от этого избавиться. Вот в фрибсд дефолтно ни перла ни питона нет, красота.

5.32 то дебиан 11, 5.16 это шапка 7.

equery d perl

малополезно

лучше emerge -pvc perl, покажет реальные зависимости, из-за которых не может удалить perl

Я думал гентой пользуются те кто сами патчи пишут.

Полезно, спасибо, записал

так а ты на фре, получается? или почему у тебя в зависимостях нет перла?

Там где его нет - фрибсд, да. А на линуксах везде более старые версии чем те что затронуты.

Линукс-дистры обычно так или иначе прибиты гвоздями к перлу, и нужно работать для того чтоб от этого избавиться.

Причина тряски?

Причина тряски?

Си.

Хотя я тоже за избавление от зависимости от Perl. Есть Python. А вместо C есть Go и Rust.

Что за тряски?

только не /etc/portage/patches/dev-lang/perl, а /etc/portage/patches/dev-lang/perl-5.40.0-r1

По-всякому можно. У меня сейчас, например, все патчи без привязки к версиям, а когда что-то перестаёт ложиться, то это, как правило, значит, что патч попал в апстрим и его пора сносить

и нужно работать для того чтоб от этого избавиться

Полезнее работать над избавлением ЛОРа от тупняка

К сожалению, в генте от перла не избавиться, по крайней мере в десктопной системе

Ядро не соберётся без перл. Git не работает. Автотулзы. LLVM (clang) не собирается…

Git не работает

Справедливости ради, у гита есть поддержка USE=-perl. Но фичи, реализованные перловыми скриптами, работать не будут.

В общем, судя по реакции ментейнеров, gentoo - дистриб не для безопасности :( Это печально. Но вдруг ещё что нибудь да поменяется.

Школота негодуэ!

Вот кстати патч:

А вот альтернативный патч:

diff -ru perl-5.38.2/doop.c perl-5.38.2_fix/doop.c
--- perl-5.38.2/doop.c	2023-11-28 16:55:12.000000000 +0300
+++ perl-5.38.2_fix/doop.c	2025-04-14 16:14:46.161888188 +0300
@@ -442,6 +442,9 @@
      * assume cannot */
     if (! out_is_utf8 && (PL_op->op_private & OPpTRANS_CAN_FORCE_UTF8)) {
         inplace = FALSE;
+		if (max_expansion < 2) {
+            	max_expansion = 2;
+        }
     }
 
     s = (U8*)SvPV_nomg(sv, len);

Дыры бывают разной критичности.

В общем, судя по реакции ментейнеров, gentoo - дистриб не для безопасности

Она мертвая просто. Мертвее слаки даже, как мне кажется. Но может это и хорошо, меньше всякой дичи пролезет. На локалхосте вся эта безопасность идет лесом, а в продакшне ты же не будешь генту ставить, не так ли?

Может потому что мейторов по пальцам пересчитать, а хотелкиных так много, плюс это гентуха с одним юзем собирается а с другим нет, я уже не говорю о других нюансах, это не оправдание мейтеров, но если мотонуть лет так 5 гентуха можно сказать быстро реагируют на добавление софта в мейнстрим я порой не успевают перекатываться оверлея

Ага, но уязвимость, которую можно воспроизвести удалённо с выполнением кода у компонента, который вшит в дистриб - достаточно критическа уязвимость.

Поэтому я не понимаю фейспалмов к моему топику)

Пофиксили. Обновляте перл

Патч у слаки кстати вышел 14 апреля, а у генты только 21-го)

Пруф http://www.slackware.com/security/viewer.php?l=slackware-security&y=2025&m=slackware-security.344114

А не вариант перейти на тестовую ветку с отдельными пакетами из стабильной?

А у тебя такой опыт есть? Поделись, если есть что сказать

Вообще мне стабильность какая-никакая нужна и каждый день что-то обновлять и конпилять не то чтобы очень хочется :(