LINUX.ORG.RU

Баг: неприменение патчей в gentoo с patch-2.6

 , ,


0

0

В системе сборки пакетов gentoo (portage) обнаружена несовместимость с patch-2.6. В этой версии утилиты patch изменилась логика обработки аргументов -F и -p. В результате, при неправильном задании параметра -p, patch иногда вместо возврата кода ошибки 1 создает новый файл и возвращает 0. Это сломало логику подбора правильного значения параметра -p в portage.

В результате этой ошибки некоторые патчи не применяются, но (если это не патчи, исправляющие ошибки сборки) пакеты собираются успешно. Таким образом, могут повторно открыться старые (якобы пропатченные) дыры в безопасности.

patch-2.6 замаскирован, пользователям рекомендуется откатиться на предыдущую версию и пересобрать все пакеты, собранные после patch-2.6.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

красивый баг ) впрочем пользователей ~arch Gentoo дыры в безопасности особенно не касаются, ввиду того что все устанавлимые пакеты находятся на стадии bleeding edge, где дырки закрыты вендорами
Пользователи stable же, новый patch еще наверное поставить не успели

Sylvia ★★★★★
()

[I] sys-devel/patch
Installed versions: 2.5.9(01:13:22 29.10.2009)(-static)

xorik ★★★★★
()
Ответ на: комментарий от Sylvia

> все устанавлимые пакеты находятся на стадии bleeding edge

За исключением тех, о которых upstream особенно не заботится. Например, ВСЕ ВЕРСИИ giflib, которые можно скачать с sourceforge.net, имеют дыру, через которую можно запустить произвольный код.

AEP ★★★★★
() автор топика
Ответ на: комментарий от AEP

в случае с такими реликтами как giflib это коснется тех немногих, кто в эти временные рамки эту библиотеку (пере)устанавливал , что вообщем то хоть и возможный, но нечастый случай...

а вообще да, посмотрю-ка я лог эмержа, что там было между patch'ами

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

Started emerge on: Nov 14, 2009

emerge (1 of 4) sys-devel/patch-2.6 to /

-----------

т.е. это чуть более 2 недель назад произошло

media-libs/libexif-0.6.19 <<<< !!! (возможно есть незакрытая дырка)

больше на ~x86 ничего интересного что могло бы таким образом оказаться дырявым нет у меня

Sylvia ★★★★★
()
Ответ на: комментарий от mutronix

Вообще, немного странно что это не Debian. Обычно такие лузерские баги наряду со взломами случаются в нем :-)

mutronix ★★★★
()
$ eix sys-devel/patch
[I] sys-devel/patch
     Available versions:  2.5.9 (~)2.5.9-r1 (~)2.6 {static}
     Installed versions:  2.6(12:53:15 16.11.2009)(-static)
     Homepage:            http://www.gnu.org/software/patch/patch.html
     Description:         Utility to apply diffs to files

Блин!

Black_Shadow ★★★★★
()

> Это сломало логику подбора правильного значения параметра -p в portage.

Они -р к пакетам брутфорсом подбирают ?!? О_о"

LamerOk ★★★★★
()

Из-за этого досадного бага пришлось более 550 пактов пересобирать. Я был в шоке когда узнал, что такое в основное дерево пропустили, но зла на маинтейнеров, рано или поздно (конечно лучше поздно, чем раньше) собирался обновить кеды из транка.

fedkoff
()

досадно, но в целом пофиг.
на ~arch в основном декстоп пользователи.
Так что ничего критического пострадать не должно. Хорошо что отловили.
Кстати, не отловили бы - баг бы всплыл и в других дистрах. (Или высплывёт уже, если где-то уже используют версию 2.6)

CyberTribe ★★
()

Да это просто праздник какой-то

ostin ★★★★★
()
Ответ на: комментарий от anonymous

~arch для того и существует: нашел баг - зарепортил. Тестовая ветка же.

anonymous
()

В stable patch-2.6 замаскирован, так что всё ок =)

Deisler
()
Ответ на: комментарий от mutronix

>Вообще, немного странно что это не Debian. Обычно такие лузерские баги наряду со взломами случаются в нем :-)

Дебиан в отличии от всяких поделей типа генты такой фигней не страдает, и с применением патчей все в порядке, в debsrc3 уже вообще ушли от обычного patch, и не извращаются так, как гентушники.

anonymous
()

>Таким образом, могут повторно открыться старые (якобы пропатченные) дыры в безопасности.
Мне кажется, или security-патчи должны быть не патчами, а находится в основном архиве программы?

xorik ★★★★★
()
Ответ на: комментарий от xorik

>Мне кажется, или security-патчи должны быть не патчами, а находится в основном архиве программы?

Тебе кажется - те патчи, которые еще не приняты в апстрим находятся отдельно.

anonymous
()

«Ага!» – сказали пользователи бинарных дистрибутивов.

anonymous
()
Ответ на: комментарий от anonymous

>те патчи, которые еще не приняты в апстрим находятся отдельно.
Может быть... Но обычно при уязвимости выходит новая минорная версия софта (например: firefox-3.5.x, pidgin-2.6.x)

xorik ★★★★★
()
Ответ на: комментарий от Sylvia

Started emerge on: Nov 18, 2009 02:25:28

emerge (1 of 88) sys-devel/patch-2.6 to /


Ы
на следующий день ессесна откатил sys-devel/patch , но на остальное забил (думал там меньше обновилось)
пересоберу от греха подальше :)

anTaRes ★★★★
()
Ответ на: комментарий от anTaRes

на следующий день


ох ты ж ё ...
Started emerge on: Dec 02, 2009 11:14:26

emerge (1 of 2) sys-devel/patch-2.5.9-r1 to /

anTaRes ★★★★
()
Ответ на: комментарий от LamerOk

>Они -р к пакетам брутфорсом подбирают ?!? О_о"

выступите с предложением, как лучше автоматически применять произвольные патчи для любых проектов.

anonymous
()
Ответ на: комментарий от splinter

>дождались ебилдов?

Я не дождался, 2.5.9-r1 до сих пор

madcore ★★★★★
()

К сожалению, в Генту нет ветки «софт с новыми фишками». Есть только «sta(b)le» и «testing». увы.

anonymous
()
Ответ на: комментарий от anonymous

>выступите с предложением, как лучше автоматически применять произвольные патчи для любых проектов.

Внимательно посмотреть скажем на Debian и перестать заниматься велосипедостроительством

anonymous
()

хм. меня как-то обошло стороной, хоть и ~x86

k0l0b0k ★★
()
Ответ на: комментарий от anonymous

> выступите с предложением, как лучше автоматически применять произвольные патчи для любых проектов.

Я лучше выступлю с еще более кардинальным предложением - не применять _произвоильные_ патчи куда ни попало, а применять исключительно конкретные патчи к исключительно тем пакетам, для которых они созданы, а не пытаться создать исскуственный интеллект методом полоного перебора. Если майнтейнеры пакета не пишут пачти сами, то пусть хоть проверяют их применение, прежде чем аппрувить.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

произвольные в смысле «любые, которые надо применить по мнению мейнтейнера».
и не известно кто и как и для какой конкретно иерархии кода написал нужный патч.
а редактировать патчи на предмет правильных -p будете наверно вы!

anonymous
()
Ответ на: комментарий от anonymous

>Внимательно посмотреть скажем на Debian и

и писать замечательные патчи по типу как для OpenSSL

anonymous
()

Да, линакс во всей его красе. Вот что бывает, когда к написанию кода допускают особей, не достигших ментальной зрелости.

linuxfan
()
$ eix -e patch
[I] sys-devel/patch
     Available versions:  2.5.9 ~2.5.9-r1 [M]~2.6 {static}
     Installed versions:  2.5.9(16:46:17 17.03.2009)(-static)
     Homepage:            http://www.gnu.org/software/patch/patch.html
     Description:         Utility to apply diffs to files

Вот объясните мне, за какой надобностью вы ставите ~arch patch? От любви к приключениям?

KRoN73 ★★★★★
()
Ответ на: комментарий от Tails

>гента - весёлый дистр.

Не-а. Просто под Gentoo есть весёлые пользователи :)

KRoN73 ★★★★★
()
Ответ на: комментарий от Virun

>Как это не смешно но стабильная ветка, лично по моим наблюдениям, гораздо более глючная чем ~arch.

Угу. И сабж, как бэ, ни на что не намекает :)

KRoN73 ★★★★★
()
Ответ на: комментарий от anonymous

>К сожалению, в Генту нет ветки «софт с новыми фишками». Есть только «sta(b)le» и «testing». увы.

А ещё в Gentoo есть /etc/portage/package.keywords

«Читайте маны, они - рулез»

KRoN73 ★★★★★
()
Ответ на: комментарий от anonymous

>и писать замечательные патчи по типу как для OpenSSL

Ага, как оперативно заткнули. Даже на сервера по старым ключам зайти не все успели. :)

anonymous
()

Что за шум? Нашли в нестабильной ветке, отловили - и хорошо. Кто сидит на нестабильной - должен знать что такое возможно, на то она и нестабильная. Gentoo не трогать, я свой велосипед самосборный ни на что не променяю. Debian - уважаю, но не люблю.

PS: Рабочая машина и домашняя - Stable, сервера - тем более.

anonymous
()
Ответ на: комментарий от Black_Shadow

>Installed versions: 2.6(12:53:15 16.11.2009)(-static)

Блин!


а нахрена было ставить нестабильный системный(!) пакет? этож не амарок какой

black7
()

законы мерфи

неприятная штука для тех кто в тестовой ветке.. эт понятно... но вот кто бы объяснил почему такое произошло именно в тот период когда и я отважился переползти на нее.. не раньше и не позже :( ACCEPT_KEYWORDS=«~x86» >> /etc/make.conf && emerge -uNDav world ..и на соелующий день читай потрясную новость на gentoo.ru

пришлось мир дважды собрать :)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.