Bugs in GNU binutils

[marce]

lt. Bugtracker von opensuse (teilweise - ich hab' nicht alle CVEs duchgejagt) noch nicht gefixed. Kommt aber sicher noch.

[robi]

Erstens; Falls das Paket Sicherheitslücken hat dann verstehe ich nicht warum werden die nicht geschlossen.
Zweitens; Das Paket wird installiert bei einer Standartinstallation also bekommen das Paket auch normale (Linuxanfänger)

Ließt hier eigentlich jemand auch mal was gepostet wird.

welche Bugs sind das eigentlich?

https://nvd.nist.gov/vuln/detail/CVE-2017-9954
https://nvd.nist.gov/vuln/detail/CVE-2017-9042
https://nvd.nist.gov/vuln/detail/CVE-2017-9742
https://nvd.nist.gov/vuln/detail/CVE-2017-9038
usw.

dann würde er schnell merken dass:
* CVE-2017-9954 Detail betrifft Bug der erst in 2.28 kommt.
* CVE-2017-9042 Detail kommt der Bug am 2017-04-12 ins Paket, also auch irgendwann in 2.28
* CVE-2017-9742 Detail Bug kommt auch erst mit 2.28
* CVE-2017-9038 Detail Bug kommt auch erst mit 2.28
also alles nur Wind um gar nichts, ihr habt mit 2.26 bei euch die Fehler noch gar nicht im System die hier gepatcht werden.
Deshalb gibts da auch keinen offiziellen Update.

oder glaubt ihr ernsthaft ich würde mich sonst hier im Thread zum Affen machen in dem ich das alles hier auf die humorvolle Art und Weise dokumentiere?

Wo sollen die jetzt ein Paket ohne Sicherheitslücken bekommen? In den Standart Repos ist er nicht.

Ganz einfach: nicht immer sofort die neuesten Pakete immer gleich installieren, dann sind auch weniger Bugs im System
Die weitaus meisten Bugs kommen immer erst mit der neuesten Versionen insbesondere wenn sie so frisch sind, das der Entwickler den letzten commit erst 5 Minuten früher abgesetzt hat bevor der Paketbuilder das RPM gepackt hat.

Oh-Je-Mine, und jetzt bekomme ich bestimmt schon wieder meine Tracht Prügel.

robi

[abgdf]

also alles nur Wind um gar nichts, ihr habt mit 2.26 bei euch die Fehler noch gar nicht im System die hier gepatcht werden.

"Dann hätte ich auch meine Quallenknödel legen können" (Loriot).

Hab' jetzt wieder die 2.23 meiner Distribution reinstalliert.

[marce]

wobei man nicht vergessen sollte, daß manchmal Features von den Distributionen zurückportiert werden - sprich der Fehler kann auch in einer älteren, von einer Distribution verteilten, Version enthalten sein.

Diese CVEs und die darin gemachten Versionsangaben beziehen sich immer nur auf die Vanilla-Sourcen.

[robi]

wobei man nicht vergessen sollte, daß manchmal Features von den Distributionen zurückportiert werden - sprich der Fehler kann auch in einer älteren, von einer Distribution verteilten, Version enthalten sein.

Höhrt endlich auf mit manchmal, oft, mehrere, ..... und aber wenn, eventuell und doch vielleicht möglich.... wenn der Hund nicht gesch... hätte ...........
recherchiert anständig und gewissenhaft, oder überlasst es gleich denen Paketbauern die sich damit besser auskennen und wenn ihr mal was Handfestes gefunden habt, dann sprecht es mit Namen, Haus- und Zeilennummer und Datum an, und belegt auch möglichst was da dran für einen Normalen Linuxuser so schrecklich unsicher sein soll.

Was ihr permanent macht, ist nur sinnlos reine Panik zu verbreiten und die normalen User zu verunsichern.

Wenn ihr was vernünftiges dazu beisteuern wollt und euch unbedingt beweißen wollt wie gut ihr seid, dann kümmert euch zB. mal zusammen mit dem User von hier darum, dass bei rsync das Kommandozeilen-Parsing mal überprüft wird. Das ist ein Fehler der für eine normalen Linux-User interessant ist, denn der hat diesem User zu richtigem Dateiverlust verholfen.

robi

[Heinz-Peter]

recherchiert anständig und gewissenhaft, oder überlasst es gleich denen Paketbauern die sich damit besser auskennen und wenn ihr mal was Handfestes gefunden habt, dann sprecht es mit Namen, Haus- und Zeilennummer und Datum an, und belegt auch möglichst was da dran für einen Normalen Linuxuser so schrecklich unsicher sein soll.

Endlich eine aussagekräftige Stellungnahme.
Danke @robi.

Grüße Heinz-Peter

[abgdf]

recherchiert anständig und gewissenhaft, .. und wenn ihr mal was Handfestes gefunden habt, dann sprecht es mit Namen, Haus- und Zeilennummer und Datum an

There is nothing concrete. If it's specific, then there will be a subject for discussion. They had a saying in an organisation where I previously worked: Addresses, descriptions, names. Let's go, where's all this?

[Gräfin Klara]

Höhrt endlich auf mit manchmal, oft, mehrere, ..... und aber wenn, eventuell und doch vielleicht möglich.... wenn der Hund nicht gesch... hätte ...........
recherchiert anständig und gewissenhaft, oder überlasst es gleich denen Paketbauern die sich damit besser auskennen und wenn ihr mal was Handfestes gefunden habt, dann sprecht es mit Namen, Haus- und Zeilennummer und Datum an, und belegt auch möglichst was da dran für einen Normalen Linuxuser so schrecklich unsicher sein soll.

Was ihr permanent macht, ist nur sinnlos reine Panik zu verbreiten und die normalen User zu verunsichern.

Wenn ihr was vernünftiges dazu beisteuern wollt und euch unbedingt beweißen wollt wie gut ihr seid, dann kümmert euch zB. mal zusammen mit dem User von hier darum, dass bei rsync das Kommandozeilen-Parsing mal überprüft wird. Das ist ein Fehler der für eine normalen Linux-User interessant ist, denn der hat diesem User zu richtigem Dateiverlust verholfen.

robi

Ich habe in meinem Eingangsbeitrag klar und deutlich darauf hingewiesen, um welche Versionen es sich handelt.
In einem weiteren Eintrag habe ich auf einige verursachende Auswirkungen zu diesen bugs verlinkt.
Es betrifft alle, die sources installieren, egal ob von einer source distribution oder mit source rpm.
Weiters betrifft es jene, die in irgendeiner Form elf binaries strippen, auf libraries untersuchen oder mit Archiven arbeiten. D.h. es betrifft alle, die system.d verwenden.
Siehe dazu die entsprechenden scripts.

Sollten solche Hinweise in diesem Forum unerwünscht sein, stellt es für mich kein Problem dar, darauf zu verzichten.

Gräfin Klara

[robi]

Na Prima, und hier nochmal in Otto-Linux-User-Deutsch übersetzt, damit die Begriffe alle und jene noch ein bisschen näher geklärt werden können.

Es betrifft alle, die sources installieren, egal ob von einer source distribution oder mit source rpm.

es betrifft alle User die Pakete aus Quelltext erstellen,installieren, also aus Quelltextarchiven und ähnlichen oder aus den sogenannten SourceRPMs.
Denn nur dann, und zu diesem Grund werden Inhalte des Paktes überhaupt erstmals benötigt.

Weiters betrifft es jene, die in irgendeiner Form elf binaries strippen,

Das bedeute sowiel, wie wenn irgendjemand von Euch Elf-Binaries zwar nicht selbst erstellt, aber manipuliert, in dem er zB die Debuginformationen aus dem Paket entfernt,
Dann betriffe es ihn. Wer sich nicht sicher ist, wenn er nicht weiß wie man überhaupt einen Prozess debugen kann, ist nicht betroffen.

auf libraries untersuchen oder mit Archiven arbeiten. D.h. es betrifft alle, die system.d verwenden.

Möchte ich derzeit bezweifeln, denn mit Archiven arbeitet der Loader und dieser ist in der Regel auch für das ermitteln der Archivzuständigkeiten zuständig. intern und auch extern nutzbar zB über einer Variable "LD_TRACE_LOADED_OBJECTS" , aber der Loader befindet sich im Paket glibc .

Allerdings gibt es im Paket binutil auch tools die sowas ( also nach Abhängikeiten von Archiven suchen, oder Archive neu zusammenstellen,.......) machen könnten, das wird aber von diesen Tools im normalen laufenden Betrieb überhaupt nicht gemacht, sondern das sind alles Entwicklerwerkzeuge wie das ganze Paket selbst.
Das dieses alle system.d Benutzer betrifft, stimmt mit Sicherheit auch nicht, 99.9% der normalen Linux-User könnten das Paket binutils bequem deinstallieren und niemand würde es jemals merken.

So ich glaube jetzt kann sich jeder sein eigenes Bild machen.

robi

[Alero]

Oder mit einfachen Worten.... viel Lärm um nichts....

Gesendet von meinem SM-T530

[abgdf]

Oder mit einfachen Worten.... viel Lärm um nichts....

Das nun wieder nicht. Ich installiere oft aus Quellen.

Außerdem sind z.B. auch viele Perl-Module aus dem CPAN in C geschrieben, so daß dann auch beim Installieren kompiliert wird.
Wenn beim Kompilieren aufgrund einer Sicherheitslücke in den Tools Mal-Ware in die ausführbaren Dateien gelangen sollte, wäre das schon bitter.

-> 2.29