View previous topic :: View next topic |
Author |
Message |
Duncan Mac Leod Guru
Joined: 02 May 2004 Posts: 310 Location: Germany
|
|
Back to top |
|
|
Klaus Meier Advocate
Joined: 18 Apr 2005 Posts: 2908 Location: Bozen
|
|
Back to top |
|
|
Duncan Mac Leod Guru
Joined: 02 May 2004 Posts: 310 Location: Germany
|
Posted: Wed Feb 17, 2016 12:20 pm Post subject: |
|
|
Ich setze noch die glibc-2.17 ein, welche sich ja immer noch im Portage Tree befindet bzw. als stable markiert ist.
Ist es da auch gefixed, oder muss ich auf eine höhere upgraden? Es gibt leider keine Infos, welche Versionen davon betroffen sind. |
|
Back to top |
|
|
Klaus Meier Advocate
Joined: 18 Apr 2005 Posts: 2908 Location: Bozen
|
Posted: Wed Feb 17, 2016 1:35 pm Post subject: |
|
|
Vom Bug betroffen sind alle Versionen seit 2.9. Also auch deine. Aktuell ist 2.22-r2 für testing und 2.21-r2 stable. Jedenfalls für amd64. Siehe auch hier:
https://packages.gentoo.org/packages/sys-libs/glibc
Für andere Versionen gab es bis jetzt noch keine Updates, du solltest also möglichste auf 2.21-r2 aktualisieren. Wenn du x86 verwendest.gibt es wohl noch keinen Fix. |
|
Back to top |
|
|
franzf Advocate
Joined: 29 Mar 2005 Posts: 4565
|
Posted: Wed Feb 17, 2016 8:54 pm Post subject: |
|
|
Weiß nicht wie du zu der Einschätzung kommst. Lesen sich fast gleich, dramatische Überspitzungen - Panikmache - konnte ich bei heise nicht feststellen. |
|
Back to top |
|
|
Klaus Meier Advocate
Joined: 18 Apr 2005 Posts: 2908 Location: Bozen
|
Posted: Wed Feb 17, 2016 9:17 pm Post subject: |
|
|
Zum Beispiel wird bei allen Artikeln, die ich gelesen habe, darauf hingewiesen, dass Android nicht betroffen ist. Außer bei Heise. Und dann steht bei Heise am Ende so ein Geschwurbel in Bezug auf Geräte, die nie ein Update bekommen, was ja wohl eindeutig den Eindruck erwecken soll, dass es sich hierbei um Android handelt, ohne es beim Namen zu nennen.
Weiterhin steht da etwas von alle Linux/Unix-Versionen wären betroffen. Was ja auch komplett falsch ist. Die glibc wird in erster Linie von Desktop-Linuxen genutzt. Embeded Devices sind außen vor genauso wie Android und BSD. Betroffen ist kein OS per se sondern nur die, die die glibc verwenden. Und für die gibt es inzwischen ein Update. Das Update gab es schon, bevor Heise diesen Beitrag verkackt hat. Auf Golem gab es den Artikel dazu schon gestern.
Maximale Panikmache bei minimaler Information. Da gibt es Golem, Pro-Linux und derStandard nur mal so auf die Schnelle, wo man ohne Hetze informiert wird. Heise ist doch inzwischen wie Pegida.
Aber Heise hat ja inzwischen auch seine Peinlichkeit erkannt und nachgeschoben, dass Android nicht betroffen ist.
Edit: Des weiteren sollte man einen Screenshot machen, wenn man Heise zitiert. Weil die ihre Beiträge ohne Hinweis ändern und man dann manchmal total dumm dasteht, wenn man sich auf etwas bezieht, was inzwischen geändert wurde. Sehe gerade, der Artikel hat einen Timestamp von 10:24. Ich kann mich aber entsinnen, diesen Artikel schon mindestens 2 Stunden vorher gelesen zu haben, weil ich dann aus dem Haus gegangen bin. Und im aktuellen Artikel wird nur noch auf Linux verwiesen. Ich meine aber, mich erinnern zu können, dass da auch mal Unix drin stand. Wie gesagt, ich habe heute morgen keinen Screenshot angefertigt, um meine Aussage zu belegen, aber alleine die Tatsache mit dem Timestamp, wie gesagt, ich weiß, wann ich heute zur Arbeit gegangen bin und wann ich den Artikel gelesen habe. Meine Arbeit beginnt um 9 Uhr.
Noch ein Edit: Der Artikel bei Golem ist datiert auf den 16.02.2016 16 Uhr 59. |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1924 Location: Schweiz
|
Posted: Thu Feb 18, 2016 7:26 am Post subject: |
|
|
Nur mal so aus reiner Neugier, was genau müsste man machen um ein Gentoo von sys-libs/glibc auf z.B. sys-libs/musl umzustellen? _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
Klaus Meier Advocate
Joined: 18 Apr 2005 Posts: 2908 Location: Bozen
|
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1924 Location: Schweiz
|
Posted: Thu Feb 18, 2016 7:38 am Post subject: |
|
|
Weder habe ich ein ein Hardened-Gentoo noch möchte ich so etwas.
EDIT:
Scheinbar gibt es eine Variable mit dem Namen ELIBC welche entscheidet welche Implementation verwendet werden soll aber wie diese geändert werden kann ohne gleich ein Profil aktivieren zu müssen das man gar nicht haben will steht scheinbar nirgends. _________________ Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW |
|
Back to top |
|
|
ChrisJumper Advocate
Joined: 12 Mar 2005 Posts: 2390 Location: Germany
|
Posted: Sun Feb 21, 2016 2:01 pm Post subject: |
|
|
Das update der Glibc war schnell da ja, aber selbst mit einem am Heise Artikeltag synchronisierten tree hatte war bis mittag auf amd64 Systemen glaube ich noch kein Patch da. Die 22-r2 wurde da erst als stabil markiert.
Da ich aber immer nach Patches suche und schaue ob im Quellcode die Aktualisierung drin ist, habe ich evtl. Die ungepatchte Grundversion geprüft.
Beim Emerge kommt ja immer "apply patches..." wo genau sind diese Patches gelistet? Beziehungsweise Gespeichert? Im ebuild? Dachte die liegen unter /usr/portage/sys-lib/glibc/files oder so.
Vielleicht wenn ich mit ebuild unpack den Quellcode in temp Verzeichnis entpackt habe dort irgendwo als patch? Würde ja Sinn machen.
War die x86 Version Oberhaupt betroffen? Ich gehe die besser mal aktualisieren.
Schmidicom die Umstellung müsste wie bei einem Port alle Pakete die aktuell glibc benutzen an musl anpassen. Soweit die Theorie. Ich weis auch nicht wie sich das unterscheidet. Aber du musst wissen was dein Programm können soll und wie die Schnittstelle der anderen lib ist. Das müsste man evtl alles anpassen. Einfach mal so ist halt schwierig vermute ich, so wie bei openssl und libressl. Funktionen die man nicht braucht kann man da auch herausschneiden aber ich wollte nur verdeutlichen wie kompliziert das ist. |
|
Back to top |
|
|
RcRaCk2k n00b
Joined: 14 May 2006 Posts: 14 Location: Freilassing
|
Posted: Mon Feb 22, 2016 8:26 pm Post subject: |
|
|
Wie updated man denn die glibc?
glibc ist doch eine Systemkomponente? Hat das zur Folge, dass fast das ganze System neu kompiliert wird?
Ist ein Neustart des Servers nach dem Einspielen des Updates notwendig? |
|
Back to top |
|
|
Klaus Meier Advocate
Joined: 18 Apr 2005 Posts: 2908 Location: Bozen
|
Posted: Mon Feb 22, 2016 9:56 pm Post subject: |
|
|
Wie man die glibc updated? emerge --sync && emerge -uDN world. Wie jedes Update. Nein, im Zuge eines Updates der glibc muss sonst nichts neu kompiliert werden. Ob ein Neustart notwendig ist, dass ist so eine Frage... Bei Windows ist ja alle 5 Minuten ein Neustart notwendig, bei Gentoo wird man nie darauf hingewiesen, bei Ubuntu z.B. auch nur, wenn es ein Kernelupdate gibt.
Die Tatsache, dass man nie auf einen Neustart hingewiesen wird, bedeutet nicht, dass er nicht nötig ist. Wenn ich den Firefox nutze und er ist geöffnet und nebenbei aktualisiere ich ihn, dann habe ich die aktualisierte Version erst dann, wenn dich den geöffneten Firefox schließe und ihn neu starte.
Von daher sollte man ein Linux im Zweifelsfall schon mal neu starten, auch wenn es nicht explizit gefordert wird. Schaden tut es nie. |
|
Back to top |
|
|
Josef.95 Advocate
Joined: 03 Sep 2007 Posts: 4553 Location: Germany
|
Posted: Mon Feb 22, 2016 10:44 pm Post subject: |
|
|
@RcRaCk2k,
schau dazu auch im [ GLSA 201602-02 ] GNU C Library
Und ja, ein reboot ist nach dem Update anzuraten. |
|
Back to top |
|
|
|