zlib: buffer overflow

Что приятно, в Debian Stable секурити апдейт еще 4 дня назад вышел.

ЗЫ. А то что вчера во вчерашней бредовой новости писали, что мол дырявое судо в Sarge еще не обновилось, так на самом деле обновилось оно еще неделю назад.

Вот собственно говоря мои секурити обновления:
/var/cache/apt/archives/
2838688 2005-06-30 17:25 gaim-data_1%3a1.2.1-1.3_all.deb
159542 2005-06-30 03:00 sudo_1.6.8p7-1.1sarge1_i386.deb
63196 2005-07-03 05:50 zlib1g_1%3a1.2.2-4.sarge.1_i386.deb
487094 2005-07-03 05:50 zlib1g-dev_1%3a1.2.2-4.sarge.1_i386.deb
879304 2005-07-05 05:45 gaim_1%3a1.2.1-1.3_i386.deb

Дебиан в плане безопастности рулит как всегда.

Ждём апдейтов от M$ и интересно как они эту уязвимость обзовут и будут л исправлять.

M$ champion! :)

А как же программы, которые слинкованы с zlib статически? Или таковых в дебиане нет совсем?

имхо нет. линковка выполняеться диначически, а в зависимостях пакета этой проги указываеться что для ее работы необходим zlib. На таких зависимостях Дебиан весь и построен, да впрочем и rpm и emerge дистры тоже.

Сейчас-то конечно rpm на многих системах скомпилирован динамически. Но я еще помню недавние времена, когда это был статический бинарник. И естественно с zlib.

Зависимости - это конечно хорошо. Но в том-то и дело, что они действуют только для динамически скомпилированных программ.

Очень может быть, что во всем многообразии дебиана нету программ или библиотек, скомпилированных с zlib статически. Я не проверял.

Патрик молчит :(

Патрик поехал за новыми дискетками.

Патрик пересобирает весь дистр ;)

А вот скажите, а у гентятников zlib линкуется или вкомпиливается?

да я думаю нахуй этот злиб выкинуть, бо уже здоровья нет пересобирать эту кучу говна

> А вот скажите, а у гентятников zlib линкуется или вкомпиливается?

Да они сами не знают, не спрашивай у них. Подавляющее большинство нынешних гентятников - это те самые дятлы, которые год назад сидели на слаке и прославляли её тут. Через некоторое время они точно так же забросят генту и начнут все поголовно ставить очередную новую херню. Их отличительная особенность - ни в одной херне, которую они себе ставили, они не разбираются. А ставят себе просто для понтов, как виндузятники.

А еще скажи что всякие LFSсники и BLFSники - ваще не в курсе что совт компилить можно, не говоря об какихто там зависимостях

Лол, сосатос, ебта, в школу!

SuSE дней пять как патчик выпустили...

>Да они сами не знают, не спрашивай у них. Подавляющее большинство нынешних гентятников - это те самые дятлы, которые год назад сидели на слаке и прославляли её тут. Через некоторое время они точно так же забросят генту и начнут все поголовно ставить очередную новую херню. Их отличительная особенность - ни в одной херне, которую они себе ставили, они не разбираются. А ставят себе просто для понтов, как виндузятники.

Вызывающая ахинея.

Мой младший тёзка подрос и самокритикой занялся?

Кто там про прямые руки при кодинге на C говорил? Прямых рук не бывает, это фантастика.

А что же Trustix Secure Linux 3.0?
Или ему эта уязвимость по боку?;)

а как насчет вкомпилированной zlib в некоторых софтинах? тут скорее гента рулит

злиб на жабе\лиспе? вфраг, бросай курить мухоморы

>Патрик молчит :(

А самому zlib пересобрать религия не позволяет? Благо патч там микробоскопический...

>злиб на жабе\лиспе?

Your words, not mine :)

>вфраг, бросай курить мухоморы

> А как же программы, которые слинкованы с zlib статически? > Или таковых в дебиане нет совсем?

Прочитай Debian Policy и подумай, почему таких программ в Debian быть не может.

Уважаемый составитель этого новостного сообщения, речь на самом деле идёт о zlib-1.2.x, zlib <= 1.1.4 не содержит этого уязвимого кода.