zlib statisch oder dynamisch eingebunden?

flaffy · Beitrag von **flaffy** » 03.08.2005 12:22:40

Hallo

Wir wir alle wissen hatte die zlib ja ein kleines Sicherheitsproblem

Gibt es eine manuelle Möglichkeit herauszufinden ob ein Programm dynamisch oder statisch mit dem zlib Code verbaut wurde (Vielleicht ldd - allerdings sieht da jeglicher Code dynamisch gelinkt aus)?

Und was mich noch interessieren würde ist ob apt automatisch Packages updatet die den alten zlib Code beinhalten?

stefon · Beitrag von **stefon** » 03.08.2005 12:25:30

naja eigentlich sollte es ja nicht geschehen dass ein code eine library direkt einkompiliert hat... aus genau den gründen die du genannt hast

flaffy · Beitrag von **flaffy** » 03.08.2005 17:33:43

Bei MySQL war es z.B. der Fall (laut einem Security Advisory - glaub ich jedenfalls

)

claus · Beitrag von **claus** » 03.08.2005 18:10:53

Man kann ClamAV dazu benutzen auf dem System nach anfällig zlib Signaturen zu suchen:

http://lists.debian.org/debian-security ... 00136.html

Die Debian Developer sind dabei alle Pakete zu fixen.

Joghurt · Beitrag von **Joghurt** » 03.08.2005 19:07:21

flaffy hat geschrieben:Gibt es eine manuelle Möglichkeit herauszufinden ob ein Programm dynamisch oder statisch mit dem zlib Code verbaut wurde (Vielleicht ldd - allerdings sieht da jeglicher Code dynamisch gelinkt aus)?

Wenn ldd libz in der Liste anzeigt, ist es dynmaisch mit zlib gelinkt, sonst nicht. (Natürlich müsstest du auch noch für alle gelisteten SOs ldd aufrufen, um zu schauen, ob zlib drin vorkommt)

flaffy · Beitrag von **flaffy** » 04.08.2005 09:37:09

Hmmm

//usr/lib/libz.a: CAN-2005-2096.zlib-1.2.2 FOUND
//usr/lib/libz.so.1.2.2: CAN-2005-2096.zlib-1.2.2 FOUND

Hmmm ja

Und apt-get macht da wohl auch nicht viel aus...da...

A list of Debian packages matching the CAN-2005-2096 signatures has been posted to the debian-security mailing list. The packages listed there may also be affected by CAN-2005-1849. Whether another update is needed depends on how CAN-2005-2096 was addressed.

...wenn ich das richtig verstehe?

claus · Beitrag von **claus** » 04.08.2005 11:33:02

Dann würd ich vorschlagen, du schreibst einen Patch und schickst ihn an die entsprechenden Maintainer, dann haben wir alle was davon.

Ansonsten hilft es vielleicht auch einfach einen Bugreport zu schreiben, falls es noch keinen geben sollte.

flaffy · Beitrag von **flaffy** » 05.08.2005 10:04:47

...und die eigentliche Frage: Was kann man dagegen machen?

claus · Beitrag von **claus** » 05.08.2005 11:53:01

bugs.debian.org schauen ob es schon einen [securty] Bug dazu für die entsprechenden Pakete gibt, ggfs. einen entsprechenden Bugreport ausfüllen.

Auf einen entsprechenden Patch von Upstream oder einen Debian Developer warten, bzw selber einen entwickeln. Sonst Paket deinstallieren, wenn du kein Sicherheitsrelevantes Paket installiert haben willst.

Joghurt · Beitrag von **Joghurt** » 05.08.2005 15:14:34

Versuchen, zlib 1.2.3 für Debian zu kompilieren.

Edit: zlib 1.2.3 ist inzwischen in unstable.

debianforum.de

zlib statisch oder dynamisch eingebunden?

zlib statisch oder dynamisch eingebunden?

Re: zlib statisch oder dynamisch eingebunden?