Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.
Bugs in GNU binutils
Moderator: Moderatoren
-
- Advanced Hacker
- Beiträge: 1090
- Registriert: 19. Jun 2008, 13:16
- Wohnort: Dettenhausen
- Kontaktdaten:
Re: Bugs in GNU binutils
lt. Bugtracker von opensuse (teilweise - ich hab' nicht alle CVEs duchgejagt) noch nicht gefixed. Kommt aber sicher noch.
Werbung:
Re: Bugs in GNU binutils
Ließt hier eigentlich jemand auch mal was gepostet wird.Heinz-Peter hat geschrieben: ↑29. Sep 2017, 11:13Erstens; Falls das Paket Sicherheitslücken hat dann verstehe ich nicht warum werden die nicht geschlossen.
Zweitens; Das Paket wird installiert bei einer Standartinstallation also bekommen das Paket auch normale (Linuxanfänger)
dann würde er schnell merken dass:
* CVE-2017-9954 Detail betrifft Bug der erst in 2.28 kommt.
* CVE-2017-9042 Detail kommt der Bug am 2017-04-12 ins Paket, also auch irgendwann in 2.28
* CVE-2017-9742 Detail Bug kommt auch erst mit 2.28
* CVE-2017-9038 Detail Bug kommt auch erst mit 2.28
also alles nur Wind um gar nichts, ihr habt mit 2.26 bei euch die Fehler noch gar nicht im System die hier gepatcht werden.
Deshalb gibts da auch keinen offiziellen Update.
oder glaubt ihr ernsthaft ich würde mich sonst hier im Thread zum Affen machen in dem ich das alles hier auf die humorvolle Art und Weise dokumentiere?

Ganz einfach: nicht immer sofort die neuesten Pakete immer gleich installieren, dann sind auch weniger Bugs im SystemHeinz-Peter hat geschrieben: ↑29. Sep 2017, 11:13Wo sollen die jetzt ein Paket ohne Sicherheitslücken bekommen? In den Standart Repos ist er nicht.

Die weitaus meisten Bugs kommen immer erst mit der neuesten Versionen insbesondere wenn sie so frisch sind, das der Entwickler den letzten commit erst 5 Minuten früher abgesetzt hat bevor der Paketbuilder das RPM gepackt hat.
Oh-Je-Mine, und jetzt bekomme ich bestimmt schon wieder meine Tracht Prügel.

robi
-
- Advanced Hacker
- Beiträge: 1090
- Registriert: 19. Jun 2008, 13:16
- Wohnort: Dettenhausen
- Kontaktdaten:
Re: Bugs in GNU binutils
wobei man nicht vergessen sollte, daß manchmal Features von den Distributionen zurückportiert werden - sprich der Fehler kann auch in einer älteren, von einer Distribution verteilten, Version enthalten sein.
Diese CVEs und die darin gemachten Versionsangaben beziehen sich immer nur auf die Vanilla-Sourcen.
Diese CVEs und die darin gemachten Versionsangaben beziehen sich immer nur auf die Vanilla-Sourcen.
Re: Bugs in GNU binutils
Höhrt endlich auf mit manchmal, oft, mehrere, ..... und aber wenn, eventuell und doch vielleicht möglich.... wenn der Hund nicht gesch... hätte ...........
recherchiert anständig und gewissenhaft, oder überlasst es gleich denen Paketbauern die sich damit besser auskennen und wenn ihr mal was Handfestes gefunden habt, dann sprecht es mit Namen, Haus- und Zeilennummer und Datum an, und belegt auch möglichst was da dran für einen Normalen Linuxuser so schrecklich unsicher sein soll.
Was ihr permanent macht, ist nur sinnlos reine Panik zu verbreiten und die normalen User zu verunsichern.
Wenn ihr was vernünftiges dazu beisteuern wollt und euch unbedingt beweißen wollt wie gut ihr seid, dann kümmert euch zB. mal zusammen mit dem User von hier darum, dass bei rsync das Kommandozeilen-Parsing mal überprüft wird. Das ist ein Fehler der für eine normalen Linux-User interessant ist, denn der hat diesem User zu richtigem Dateiverlust verholfen.
robi
- Heinz-Peter
- Guru
- Beiträge: 2003
- Registriert: 24. Okt 2005, 14:04
Re: Bugs in GNU binutils
Endlich eine aussagekräftige Stellungnahme.robi hat geschrieben: ↑29. Sep 2017, 17:00recherchiert anständig und gewissenhaft, oder überlasst es gleich denen Paketbauern die sich damit besser auskennen und wenn ihr mal was Handfestes gefunden habt, dann sprecht es mit Namen, Haus- und Zeilennummer und Datum an, und belegt auch möglichst was da dran für einen Normalen Linuxuser so schrecklich unsicher sein soll.
Danke @robi.
Grüße Heinz-Peter
Mein Betriebssystem: Suse 13.2/42.2/42.3, Prozessor: Pentium 4 550 (3,40 GHz, FSB800, Hyper-Threading), Grafikkarte: Nvidia Geforce 6610XL (PCIe)/128MByte.
Wir müssen lernen, entweder als Brüder miteinander zu leben oder als Narren unterzugehen.
Wir müssen lernen, entweder als Brüder miteinander zu leben oder als Narren unterzugehen.
Re: Bugs in GNU binutils
Wladimir Putin hat geschrieben:There is nothing concrete. If it's specific, then there will be a subject for discussion. They had a saying in an organisation where I previously worked: Addresses, descriptions, names. Let's go, where's all this?

-
- Hacker
- Beiträge: 349
- Registriert: 23. Jun 2008, 20:51
Re: Bugs in GNU binutils
Ich habe in meinem Eingangsbeitrag klar und deutlich darauf hingewiesen, um welche Versionen es sich handelt.robi hat geschrieben: ↑29. Sep 2017, 17:00Höhrt endlich auf mit manchmal, oft, mehrere, ..... und aber wenn, eventuell und doch vielleicht möglich.... wenn der Hund nicht gesch... hätte ...........
recherchiert anständig und gewissenhaft, oder überlasst es gleich denen Paketbauern die sich damit besser auskennen und wenn ihr mal was Handfestes gefunden habt, dann sprecht es mit Namen, Haus- und Zeilennummer und Datum an, und belegt auch möglichst was da dran für einen Normalen Linuxuser so schrecklich unsicher sein soll.
Was ihr permanent macht, ist nur sinnlos reine Panik zu verbreiten und die normalen User zu verunsichern.
Wenn ihr was vernünftiges dazu beisteuern wollt und euch unbedingt beweißen wollt wie gut ihr seid, dann kümmert euch zB. mal zusammen mit dem User von hier darum, dass bei rsync das Kommandozeilen-Parsing mal überprüft wird. Das ist ein Fehler der für eine normalen Linux-User interessant ist, denn der hat diesem User zu richtigem Dateiverlust verholfen.
robi
In einem weiteren Eintrag habe ich auf einige verursachende Auswirkungen zu diesen bugs verlinkt.
Es betrifft alle, die sources installieren, egal ob von einer source distribution oder mit source rpm.
Weiters betrifft es jene, die in irgendeiner Form elf binaries strippen, auf libraries untersuchen oder mit Archiven arbeiten. D.h. es betrifft alle, die system.d verwenden.
Siehe dazu die entsprechenden scripts.
Sollten solche Hinweise in diesem Forum unerwünscht sein, stellt es für mich kein Problem dar, darauf zu verzichten.
Gräfin Klara
Re: Bugs in GNU binutils
Na Prima, und hier nochmal in Otto-Linux-User-Deutsch übersetzt, damit die Begriffe alle und jene noch ein bisschen näher geklärt werden können.
Denn nur dann, und zu diesem Grund werden Inhalte des Paktes überhaupt erstmals benötigt.
Dann betriffe es ihn. Wer sich nicht sicher ist, wenn er nicht weiß wie man überhaupt einen Prozess debugen kann, ist nicht betroffen.
Allerdings gibt es im Paket binutil auch tools die sowas ( also nach Abhängikeiten von Archiven suchen, oder Archive neu zusammenstellen,.......) machen könnten, das wird aber von diesen Tools im normalen laufenden Betrieb überhaupt nicht gemacht, sondern das sind alles Entwicklerwerkzeuge wie das ganze Paket selbst.
Das dieses alle system.d Benutzer betrifft, stimmt mit Sicherheit auch nicht, 99.9% der normalen Linux-User könnten das Paket binutils bequem deinstallieren und niemand würde es jemals merken.
So ich glaube jetzt kann sich jeder sein eigenes Bild machen.
robi
es betrifft alle User die Pakete aus Quelltext erstellen,installieren, also aus Quelltextarchiven und ähnlichen oder aus den sogenannten SourceRPMs.Es betrifft alle, die sources installieren, egal ob von einer source distribution oder mit source rpm.
Denn nur dann, und zu diesem Grund werden Inhalte des Paktes überhaupt erstmals benötigt.
Das bedeute sowiel, wie wenn irgendjemand von Euch Elf-Binaries zwar nicht selbst erstellt, aber manipuliert, in dem er zB die Debuginformationen aus dem Paket entfernt,Weiters betrifft es jene, die in irgendeiner Form elf binaries strippen,
Dann betriffe es ihn. Wer sich nicht sicher ist, wenn er nicht weiß wie man überhaupt einen Prozess debugen kann, ist nicht betroffen.
Möchte ich derzeit bezweifeln, denn mit Archiven arbeitet der Loader und dieser ist in der Regel auch für das ermitteln der Archivzuständigkeiten zuständig. intern und auch extern nutzbar zB über einer Variable "LD_TRACE_LOADED_OBJECTS" , aber der Loader befindet sich im Paket glibc .auf libraries untersuchen oder mit Archiven arbeiten. D.h. es betrifft alle, die system.d verwenden.
Allerdings gibt es im Paket binutil auch tools die sowas ( also nach Abhängikeiten von Archiven suchen, oder Archive neu zusammenstellen,.......) machen könnten, das wird aber von diesen Tools im normalen laufenden Betrieb überhaupt nicht gemacht, sondern das sind alles Entwicklerwerkzeuge wie das ganze Paket selbst.
Das dieses alle system.d Benutzer betrifft, stimmt mit Sicherheit auch nicht, 99.9% der normalen Linux-User könnten das Paket binutils bequem deinstallieren und niemand würde es jemals merken.
So ich glaube jetzt kann sich jeder sein eigenes Bild machen.
robi
Re: Bugs in GNU binutils
Oder mit einfachen Worten.... viel Lärm um nichts....
Gesendet von meinem SM-T530
Gesendet von meinem SM-T530
Re: Bugs in GNU binutils
Das nun wieder nicht. Ich installiere oft aus Quellen.
Außerdem sind z.B. auch viele Perl-Module aus dem CPAN in C geschrieben, so daß dann auch beim Installieren kompiliert wird.
Wenn beim Kompilieren aufgrund einer Sicherheitslücke in den Tools Mal-Ware in die ausführbaren Dateien gelangen sollte, wäre das schon bitter.
-> 2.29
