Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Bugs in GNU binutils

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

marce
Advanced Hacker
Advanced Hacker
Beiträge: 1082
Registriert: 19. Jun 2008, 13:16
Wohnort: Dettenhausen
Kontaktdaten:

Re: Bugs in GNU binutils

Beitrag von marce » 29. Sep 2017, 12:05

lt. Bugtracker von opensuse (teilweise - ich hab' nicht alle CVEs duchgejagt) noch nicht gefixed. Kommt aber sicher noch.

Werbung:
Benutzeravatar
robi
Moderator
Moderator
Beiträge: 3160
Registriert: 25. Aug 2004, 02:13

Re: Bugs in GNU binutils

Beitrag von robi » 29. Sep 2017, 12:16

Heinz-Peter hat geschrieben:
29. Sep 2017, 11:13
Erstens; Falls das Paket Sicherheitslücken hat dann verstehe ich nicht warum werden die nicht geschlossen.
Zweitens; Das Paket wird installiert bei einer Standartinstallation also bekommen das Paket auch normale (Linuxanfänger)
Ließt hier eigentlich jemand auch mal was gepostet wird.
dann würde er schnell merken dass:
* CVE-2017-9954 Detail betrifft Bug der erst in 2.28 kommt.
* CVE-2017-9042 Detail kommt der Bug am 2017-04-12 ins Paket, also auch irgendwann in 2.28
* CVE-2017-9742 Detail Bug kommt auch erst mit 2.28
* CVE-2017-9038 Detail Bug kommt auch erst mit 2.28
also alles nur Wind um gar nichts, ihr habt mit 2.26 bei euch die Fehler noch gar nicht im System die hier gepatcht werden.
Deshalb gibts da auch keinen offiziellen Update.

oder glaubt ihr ernsthaft ich würde mich sonst hier im Thread zum Affen machen in dem ich das alles hier auf die humorvolle Art und Weise dokumentiere? :irre:
Heinz-Peter hat geschrieben:
29. Sep 2017, 11:13
Wo sollen die jetzt ein Paket ohne Sicherheitslücken bekommen? In den Standart Repos ist er nicht.
Ganz einfach: nicht immer sofort die neuesten Pakete immer gleich installieren, dann sind auch weniger Bugs im System ;)
Die weitaus meisten Bugs kommen immer erst mit der neuesten Versionen insbesondere wenn sie so frisch sind, das der Entwickler den letzten commit erst 5 Minuten früher abgesetzt hat bevor der Paketbuilder das RPM gepackt hat.

Oh-Je-Mine, und jetzt bekomme ich bestimmt schon wieder meine Tracht Prügel. ;)

robi

abgdf
Guru
Guru
Beiträge: 3113
Registriert: 13. Apr 2004, 21:15

Re: Bugs in GNU binutils

Beitrag von abgdf » 29. Sep 2017, 16:13

robi hat geschrieben:
29. Sep 2017, 12:16
also alles nur Wind um gar nichts, ihr habt mit 2.26 bei euch die Fehler noch gar nicht im System die hier gepatcht werden.
"Dann hätte ich auch meine Quallenknödel legen können" (Loriot).

Hab' jetzt wieder die 2.23 meiner Distribution reinstalliert.

marce
Advanced Hacker
Advanced Hacker
Beiträge: 1082
Registriert: 19. Jun 2008, 13:16
Wohnort: Dettenhausen
Kontaktdaten:

Re: Bugs in GNU binutils

Beitrag von marce » 29. Sep 2017, 16:21

wobei man nicht vergessen sollte, daß manchmal Features von den Distributionen zurückportiert werden - sprich der Fehler kann auch in einer älteren, von einer Distribution verteilten, Version enthalten sein.

Diese CVEs und die darin gemachten Versionsangaben beziehen sich immer nur auf die Vanilla-Sourcen.

Benutzeravatar
robi
Moderator
Moderator
Beiträge: 3160
Registriert: 25. Aug 2004, 02:13

Re: Bugs in GNU binutils

Beitrag von robi » 29. Sep 2017, 17:00

marce hat geschrieben:
29. Sep 2017, 16:21
wobei man nicht vergessen sollte, daß manchmal Features von den Distributionen zurückportiert werden - sprich der Fehler kann auch in einer älteren, von einer Distribution verteilten, Version enthalten sein.
Höhrt endlich auf mit manchmal, oft, mehrere, ..... und aber wenn, eventuell und doch vielleicht möglich.... wenn der Hund nicht gesch... hätte ...........
recherchiert anständig und gewissenhaft, oder überlasst es gleich denen Paketbauern die sich damit besser auskennen und wenn ihr mal was Handfestes gefunden habt, dann sprecht es mit Namen, Haus- und Zeilennummer und Datum an, und belegt auch möglichst was da dran für einen Normalen Linuxuser so schrecklich unsicher sein soll.

Was ihr permanent macht, ist nur sinnlos reine Panik zu verbreiten und die normalen User zu verunsichern.

Wenn ihr was vernünftiges dazu beisteuern wollt und euch unbedingt beweißen wollt wie gut ihr seid, dann kümmert euch zB. mal zusammen mit dem User von hier darum, dass bei rsync das Kommandozeilen-Parsing mal überprüft wird. Das ist ein Fehler der für eine normalen Linux-User interessant ist, denn der hat diesem User zu richtigem Dateiverlust verholfen.

robi

Benutzeravatar
Heinz-Peter
Guru
Guru
Beiträge: 1998
Registriert: 24. Okt 2005, 14:04

Re: Bugs in GNU binutils

Beitrag von Heinz-Peter » 29. Sep 2017, 19:27

robi hat geschrieben:
29. Sep 2017, 17:00
recherchiert anständig und gewissenhaft, oder überlasst es gleich denen Paketbauern die sich damit besser auskennen und wenn ihr mal was Handfestes gefunden habt, dann sprecht es mit Namen, Haus- und Zeilennummer und Datum an, und belegt auch möglichst was da dran für einen Normalen Linuxuser so schrecklich unsicher sein soll.
Endlich eine aussagekräftige Stellungnahme.
Danke @robi.

Grüße Heinz-Peter
Mein Betriebssystem: Suse 13.2/42.2/42.3, Prozessor: Pentium 4 550 (3,40 GHz, FSB800, Hyper-Threading), Grafikkarte: Nvidia Geforce 6610XL (PCIe)/128MByte.
Wir müssen lernen, entweder als Brüder miteinander zu leben oder als Narren unterzugehen.

abgdf
Guru
Guru
Beiträge: 3113
Registriert: 13. Apr 2004, 21:15

Re: Bugs in GNU binutils

Beitrag von abgdf » 30. Sep 2017, 16:06

robi hat geschrieben:
29. Sep 2017, 17:00
recherchiert anständig und gewissenhaft, .. und wenn ihr mal was Handfestes gefunden habt, dann sprecht es mit Namen, Haus- und Zeilennummer und Datum an
Wladimir Putin hat geschrieben:There is nothing concrete. If it's specific, then there will be a subject for discussion. They had a saying in an organisation where I previously worked: Addresses, descriptions, names. Let's go, where's all this?
:D

Gräfin Klara
Hacker
Hacker
Beiträge: 335
Registriert: 23. Jun 2008, 20:51

Re: Bugs in GNU binutils

Beitrag von Gräfin Klara » 30. Sep 2017, 17:50

robi hat geschrieben:
29. Sep 2017, 17:00
Höhrt endlich auf mit manchmal, oft, mehrere, ..... und aber wenn, eventuell und doch vielleicht möglich.... wenn der Hund nicht gesch... hätte ...........
recherchiert anständig und gewissenhaft, oder überlasst es gleich denen Paketbauern die sich damit besser auskennen und wenn ihr mal was Handfestes gefunden habt, dann sprecht es mit Namen, Haus- und Zeilennummer und Datum an, und belegt auch möglichst was da dran für einen Normalen Linuxuser so schrecklich unsicher sein soll.

Was ihr permanent macht, ist nur sinnlos reine Panik zu verbreiten und die normalen User zu verunsichern.

Wenn ihr was vernünftiges dazu beisteuern wollt und euch unbedingt beweißen wollt wie gut ihr seid, dann kümmert euch zB. mal zusammen mit dem User von hier darum, dass bei rsync das Kommandozeilen-Parsing mal überprüft wird. Das ist ein Fehler der für eine normalen Linux-User interessant ist, denn der hat diesem User zu richtigem Dateiverlust verholfen.

robi
Ich habe in meinem Eingangsbeitrag klar und deutlich darauf hingewiesen, um welche Versionen es sich handelt.
In einem weiteren Eintrag habe ich auf einige verursachende Auswirkungen zu diesen bugs verlinkt.
Es betrifft alle, die sources installieren, egal ob von einer source distribution oder mit source rpm.
Weiters betrifft es jene, die in irgendeiner Form elf binaries strippen, auf libraries untersuchen oder mit Archiven arbeiten. D.h. es betrifft alle, die system.d verwenden.
Siehe dazu die entsprechenden scripts.

Sollten solche Hinweise in diesem Forum unerwünscht sein, stellt es für mich kein Problem dar, darauf zu verzichten.

Gräfin Klara

Benutzeravatar
robi
Moderator
Moderator
Beiträge: 3160
Registriert: 25. Aug 2004, 02:13

Re: Bugs in GNU binutils

Beitrag von robi » 30. Sep 2017, 19:00

Na Prima, und hier nochmal in Otto-Linux-User-Deutsch übersetzt, damit die Begriffe alle und jene noch ein bisschen näher geklärt werden können.
Es betrifft alle, die sources installieren, egal ob von einer source distribution oder mit source rpm.
es betrifft alle User die Pakete aus Quelltext erstellen,installieren, also aus Quelltextarchiven und ähnlichen oder aus den sogenannten SourceRPMs.
Denn nur dann, und zu diesem Grund werden Inhalte des Paktes überhaupt erstmals benötigt.
Weiters betrifft es jene, die in irgendeiner Form elf binaries strippen,
Das bedeute sowiel, wie wenn irgendjemand von Euch Elf-Binaries zwar nicht selbst erstellt, aber manipuliert, in dem er zB die Debuginformationen aus dem Paket entfernt,
Dann betriffe es ihn. Wer sich nicht sicher ist, wenn er nicht weiß wie man überhaupt einen Prozess debugen kann, ist nicht betroffen.
auf libraries untersuchen oder mit Archiven arbeiten. D.h. es betrifft alle, die system.d verwenden.
Möchte ich derzeit bezweifeln, denn mit Archiven arbeitet der Loader und dieser ist in der Regel auch für das ermitteln der Archivzuständigkeiten zuständig. intern und auch extern nutzbar zB über einer Variable "LD_TRACE_LOADED_OBJECTS" , aber der Loader befindet sich im Paket glibc .

Allerdings gibt es im Paket binutil auch tools die sowas ( also nach Abhängikeiten von Archiven suchen, oder Archive neu zusammenstellen,.......) machen könnten, das wird aber von diesen Tools im normalen laufenden Betrieb überhaupt nicht gemacht, sondern das sind alles Entwicklerwerkzeuge wie das ganze Paket selbst.
Das dieses alle system.d Benutzer betrifft, stimmt mit Sicherheit auch nicht, 99.9% der normalen Linux-User könnten das Paket binutils bequem deinstallieren und niemand würde es jemals merken.

So ich glaube jetzt kann sich jeder sein eigenes Bild machen.

robi

Alero

Re: Bugs in GNU binutils

Beitrag von Alero » 30. Sep 2017, 20:36

Oder mit einfachen Worten.... viel Lärm um nichts....

Gesendet von meinem SM-T530


abgdf
Guru
Guru
Beiträge: 3113
Registriert: 13. Apr 2004, 21:15

Re: Bugs in GNU binutils

Beitrag von abgdf » 30. Sep 2017, 22:19

Alero hat geschrieben:
30. Sep 2017, 20:36
Oder mit einfachen Worten.... viel Lärm um nichts....
Das nun wieder nicht. Ich installiere oft aus Quellen.

Außerdem sind z.B. auch viele Perl-Module aus dem CPAN in C geschrieben, so daß dann auch beim Installieren kompiliert wird.
Wenn beim Kompilieren aufgrund einer Sicherheitslücke in den Tools Mal-Ware in die ausführbaren Dateien gelangen sollte, wäre das schon bitter.

-> 2.29 ;)

Antworten