| View previous topic :: View next topic |
| Author |
Message |
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4807
Location: http://www.gentoo-users.org/user/cloc3/
|
 Posted: Sun Oct 16, 2022 12:18 pm Post subject: glsa-check -p 202208-30 (sys-devel/binutils-2.37_p1-r2) |
 |
|
casualmente, ho scoperto che il mio sistema è affetto da questa vulnerabilità:
| Code: |
cloc3 ~ # glsa-check -p 202208-30
Checking GLSA 202208-30
>>> The following updates will be performed for this GLSA:
>>> No upgrade path exists for these packages:
sys-devel/binutils-2.37_p1-r2
|
infatti:
| Code: |
cloc3 ~ # eix sys-devel/binutils
[?] sys-devel/binutils
Available versions:
...
(2.37) [M]^t
(2.38) 2.38-r2^t
(2.39) ~2.39-r2^t ~2.39-r3^t
(9999) **9999*l^t
{cet default-gold doc (+)gold gprofng multitarget +nls pgo +plugins static-libs test vanilla zstd}
Installed versions: 2.37_p1-r2(2.37)^t(20:26:10 18/02/2022)(gold nls plugins -cet -default-gold -doc -multitarget -pgo -static-libs -test -vanilla) 2.38-r2(2.38)^t(03:38:56 10/09/2022)(gold nls plugins -cet -default-gold -doc -multitarget -pgo -static-libs -test -vanilla)
|
la versione installata sul mio computer e la 2.37_p1-r2, attualmente mascherata, mentre la versione non affetta dovrebbe essere la 2.38-r2.
come mai, se chiamo emerge -uDN @world, l'aggiornamento delle binutils non viene proposto?
cosa succede se forzo l'aggiornamento manuale delle binutils (emerge non fa obiezioni)?
inoltre, non mi è ancora chiaro se le vulnerabilità dipendenti da questo pacchetto riguardano solo il pacchetto stesso o anche i binari generati facendo uso delle binutils.
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
 |
sabayonino
Veteran
Joined: 03 Jan 2012
Posts: 1039
|
| Posted: Sun Oct 16, 2022 2:06 pm Post subject: |
|
|
hai anche la 2.38 ... controlla bene in fondo
| Quote: | Installed versions: 2.37_p1-r2(2.37)^t(20:26:10 18/02/2022)(gold nls plugins -cet -default-gold -doc -multitarget -pgo -static-libs -test -vanilla) 2.38-r2(2.3 ^t(03:38:56 10/09/2022)(gold nls plugins -cet -default-gold -doc -multitarget -pgo -static-libs -test -vanilla) |
Check
quando ti ha installato la 2.38, il 10 settembre , (forse non te ne sei accorto , evidentemente) alla fine portage rilasciava un messaggio relativo appunto alla 2.37
se non hai necessità di tenerla , puoi anche rimuovere la 2.37
| Quote: | !!! One of the following masked packages is required to complete your request:
- sys-devel/binutils-2.37_p1-r2::gentoo (masked by: package.mask)
/var/db/repos/gentoo/profiles/package.mask:
# Andreas K. Hüttel <dilfridge@gentoo.org> (2017-05-21)
# (and others, updated later)
# These old versions of toolchain packages (binutils, gcc, glibc) are no
# longer officially supported and are not suitable for general use. Using
# these packages can result in build failures (and possible breakage) for
# many packages, and may leave your system vulnerable to known security
# exploits.
# If you still use one of these old toolchain packages, please upgrade (and
# switch the compiler / the binutils) ASAP. If you need them for a specific
# (isolated) use case, feel free to unmask them on your system.
For more information, see the MASKED PACKAGES section in the emerge
man page or refer to the Gentoo Handbook. |
ssendo stata mascherata la versione 2.37 , e resa "stabile" la 2.38 , portage ha eseguito l'upgrade in automatico
_________________
LRS i586 on G.Drive
LRS x86-64 EFI on MEGA
Last edited by sabayonino on Sun Oct 16, 2022 2:15 pm; edited 1 time in total |
|
| Back to top |
|
|
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4807
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Sun Oct 16, 2022 2:28 pm Post subject: |
|
|
| sabayonino wrote: | hai anche la 2.38 ... controlla bene in fondo
|
hai ragione. adesso comincio a capire.
ho dovuto attivare la nuova versione di binutils con eselect.
poi ho eliminato la vecchia versione.
però non ricordo di avere letto inviti a disinstallare la versione mascherata.
normalmente compaiono alla fine del merge e ci do sempre un occhio.
cosa devo pensare dei pacchetti che ho compilato in questo periodo con la versione sbagliata di binutils?
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
sabayonino
Veteran
Joined: 03 Jan 2012
Posts: 1039
|
| Posted: Sun Oct 16, 2022 2:28 pm Post subject: |
|
|
 l'unica cosa manuale che ho fatto nelle mie installazioni è stat ala rimozione , ma alla versione 2.38 se l'è portata dietro portage
| Code: |
Thu Sep 22 12:57:13 2022 >>> sys-devel/binutils-2.38-r2
Thu Sep 22 13:00:34 2022 <<< sys-libs/binutils-libs-2.37_p1-r2
Thu Sep 22 13:00:35 2022 >>> sys-libs/binutils-libs-2.38-r2
Fri Oct 7 01:19:44 2022 <<< sys-devel/binutils-2.37_p1-r2 |
_________________
LRS i586 on G.Drive
LRS x86-64 EFI on MEGA |
|
| Back to top |
|
|
sabayonino
Veteran
Joined: 03 Jan 2012
Posts: 1039
|
| Posted: Sun Oct 16, 2022 2:33 pm Post subject: |
|
|
| cloc3 wrote: | | sabayonino wrote: | hai anche la 2.38 ... controlla bene in fondo
|
hai ragione. adesso comincio a capire.
ho dovuto attivare la nuova versione di binutils con eselect.
poi ho eliminato la vecchia versione.
però non ricordo di avere letto inviti a disinstallare la versione mascherata.
normalmente compaiono alla fine del merge e ci do sempre un occhio.
|
se binutils è capitato in mezzo ad altri pacchetti potrebbe esserti sfuggita
lo switch dovrebbe averlo fatto in automatico
Se gli altri pacchetti della toolchain (come indicato dall'avviso) sono recenti , non dovresti avere problemi , oppure:
| Code: | | # emerge --oneshot --ask @system |
_________________
LRS i586 on G.Drive
LRS x86-64 EFI on MEGA
Last edited by sabayonino on Sun Oct 16, 2022 2:41 pm; edited 1 time in total |
|
| Back to top |
|
|
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4807
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Sun Oct 16, 2022 2:37 pm Post subject: |
|
|
| sabayonino wrote: |
lo switch dovrebbe averlo fatto in automatico
|
no. di questo sono sicuro.
ho verificato con eselect che la versione attiva era quella vecchia e la ho cambiata manualmente.
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
|
Forum italiano (Italian)
