• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

linux-f10-expat-2.0.1 läßt sich nicht bauen

[KB]

Well-Known Member
Themenstarter #1
Hallo!

Und weil das heute schon so toll geklappt hat, gleich noch eine Frage. :)

Beim Versuch linux-f10-expat-2.0.1 zu bauen, bekomme ich folgende Meldung:

brandt@shark : /usr/ports/textproc/linux-f10-expat # make
===> linux-f10-expat-2.0.1 has known vulnerabilities:
linux-f10-expat-2.0.1 is vulnerable:
expat2 -- Parser crash with specially formatted UTF-8 sequences
CVE: CVE-2009-3720
WWW: http://portaudit.FreeBSD.org/5f030587-e39a-11de-881e-001aa0166822.html
=> Please update your ports tree and try again.
*** Error code 1

Stop.
make: stopped in /usr/ports/textproc/linux-f10-expat​

Kann es sein, dass ein sicherheitskritischer Bug wirklich dazu führt, dass ich einen bestimmten Port nicht mehr bauen darf oder läßt sich das abschalten oder irgendwie umkonfigurieren? :ugly: Ich möchte doch schon selbst bestimmen, was für mich kritisch ist und was nicht.

Vielen Dank im Vorraus!
 

pit234a

Well-Known Member
#2
warte lieber auf eindeutige Antwort von kompetenten Leuten, aber vorab: genau so ist das das. Ein port mit bekannten Sicherheitslücken kann nicht einfach automatisch gebaut werden und das ist auch gut so.
Es gibt einen make-Option (ich meine force) um das zu umgehen.
Wenn es ganz ganz hart kommt, kannst du das Makefile im Port-Verzeichnis manipulieren und sogar eine alternative Version des Quellcodes downloaden und dann im Port-Verzeichnis das distfile entsprechend anpassen. Damit bekommst du natürlich ein "unsauberes" System, aber manchmal ist das vielleicht besser, als ein Sicherheitsloch einzubauen.
 

sterum

Well-Known Member
#3
Code:
=> Note: Vulnerable ports are marked as such even if there is no update available.
=> If you wish to ignore this vulnerability rebuild with 'make DISABLE_VULNERABILITIES=yes'
dann sollte es klappen.
 

[KB]

Well-Known Member
Themenstarter #6
Hallo foxit,

ich bin mir dessen schon bewusst, jedoch scheint ein großer Teil der Linux-Emulation mit besagter Meldung abzubrechen, da jetzt scheinbar mal jemand etwas genauer in den Quelltext schaut.

Das ist gut und dafür auch mein Dank an den oder die Kollegen!!!

Jedoch kann ich auf die Linux-Emulation im Moment nicht verzichten.

Wie ist eigentlich der Stand mit der Cent-OS-Emu?
Weiß das jemand, denn die Fedora10-Emu ist ja nun doch in die Jahre gekommen, denke ich.
 

pit234a

Well-Known Member
#7
Zunächst kann ich dazu gar nicht viel sagen, außer, dass man sehr viel seltener eine Linux-Emu braucht, als man auf den ersten Blick annehmen möchte. Das mag für dich nicht gelten. Klar. Aber, weil du nicht sagst, wofür du die Linux-Emu wirklich brauchst, kann man das schlecht beurteilen.
Dann könnte dir vielleicht eine VM besser helfen? Da kannst du irgendein Linux installieren. Jedenfalls habe ich bislang keines probiert, das nicht mit der Oracle VirtualBox funktionierte.

Sobald die vulnerabilities gefixt sind, hast du ein längeres Update vor dir, wie es scheint. Ansonsten hast du dich frei dafür entschieden, mit den Löchern zu leben und ich finde das in Ordnung. Man sollte das wissen, nicht einfach etwas untergejubelt bekommen.