php5-gd update

C

cryptodev

Member
Hallo zusammen,

als eigentlicher OpenBSD-User, der jetzt mal FreeBSD am laufen hat, habe ich eine Frage:

Es geht um den Port php5-gd. Er ist seit einiger Zeit (siehe http://www.securiteam.com/unixfocus/6G00Y0ANFU.html) als "vulnerable" markiert und lässt sich, dank portaudit, nicht kompilieren:

Code: 
# cd /usr/ports/graphics/php5-gd/
# make
===>  php5-gd-5.2.8 has known vulnerabilities:
=> php5-gd -- uninitialized memory information disclosure vulnerability.
   Reference: <http://www.FreeBSD.org/ports/portaudit/58a3c266-db01-11dd-ae30-001cc0377035.html>
=> Please update your ports tree and try again.
*** Error code 1

Stop in /usr/ports/graphics/php5-gd.
*** Error code 1

Stop in /usr/ports/graphics/php5-gd.

Ein 'portsnap fetch' mit anschliessendem 'portsnap update' holt scheinbar keinen neuen Port für php5-gd ... Habe ihn, damit ich überhaupt mit der Installation anderer Services fortfahren konnte, mit
Code: 
make -DDISABLE_VULNERABILITIES
installiert (der Server ist noch nicht produktiv am Netz).

Nun die Frage: Gibt es für php5-gd einfach noch keinen Patch? Oder fehlt mir noch ein magischer Zauberspruch? Habe online alles abgegrast aber keinen Hinweis gefunden. Kann mir nicht vorstellen, dass es für ein relativ wichtiges Stück Software so lang keinen Patch geben sollte...

Danke für eure Hilfe,
Cryptodev

(FreebSD 7.1)
 
Zuletzt bearbeitet:
Du müsstest wohl deine Pakete auf einen aktuellen Stand bringen. Updates gibt es da durchaus. Am besten du fängst im Handbuch oder im Wiki mit dem Artikel zu Paketsystemen an.
 
Ich spreche ja von den Ports, nicht von den Paketen. Pakete werden ja mithilfe von Ports gebaut. Wenn es also ein aktuelles Paket gibt, müsste es doch auch einen aktualisierten Port geben oder?

Das Paket php5-gd kann ich nicht gebrauchen, weil es mit Abhängigkeiten zu X11 gebaut wurde. Ich dagegen habe einen Webserver ohne X11...
 
Also ich habe das Problem auch, auf meinem Webserver ist das Paket als "vulnerable" markiert. Ein Update ist aber noch nicht in den Ports zu finden.

Die in den Ports aktuelle Version hat seit wochen eben bekanntes Sicherheitsloch... ich habe einfach die entsprechende gd.c ersetzt und von Hand kompiliert.
 
kmh schrieb:
ich habe einfach die entsprechende gd.c ersetzt und von Hand kompiliert.
Zum Vergrößern anklicken....

Clever. Heisst 'von Hand' bei dir, dass du kein 'make install' gemacht hast? Jetzt, nachdem du die Idee hattest, könnte ich das eben auch machen, aber ich würde gd.c in den Port downloaden (und die port-gd.c überschreiben) und dann make install machen. Müsste gehen, oder?
 
Genau so habe ich es auch gemacht, aber ich habe eben nur die kritische Stelle im Code ersetzt, nicht die komplette Datei.
 
interessant, bekomme den selben fehler wenn ich phpmyadmin installieren will:

Code: 
# cd phpmyadmin
# make fetch-recursive
===> Fetching all distfiles for phpMyAdmin-3.1.1 and dependencies

You may use the following additional build option:

    WITH_SUPHP=yes   Install appropriately for use with
                     the www/suphp port [default: no]

This version of phpmyadmin requires PHP 5.2+ and MySQL
5.0+.  If you need to use an older version of PHP or
manage older MYSQL databases, please use the
databases/phpmyadmin211 port instead.

===>  php5-gd-5.2.8 has known vulnerabilities:
=> php5-gd -- uninitialized memory information disclosure vulnerability.
   Reference: <http://www.FreeBSD.org/ports/portaudit/58a3c266-db01-11dd-ae30-001cc0377035.html>
=> Please update your ports tree and try again.
*** Error code 1

Stop in /usr/ports/graphics/php5-gd.
*** Error code 1

Stop in /usr/ports/databases/phpmyadmin.
#

bei databases/phpmyadmin211 das gleiche. ports tree ist selbstverständlich uptodate.
gibt es eigentlich eine anleitung für dummies, wie man das händisch patcht?
das ist bestimmt sicherer als mit "vulnerability check: no" builden, oder?
 
Zuletzt bearbeitet:
Wenn es dafür einen Fix gäbe würde es auf der Seite stehen. Es bleibt eigentlich nur zu hoffen, dass es bald ein Update gibt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben