[Linux-User 2/2005] kio-slave patchen, aber wie ... ?
Hallo Liste, gestern hab ich in der aktuellen Ausgabe des Linux-User gelesen das es sinnvoll wäre den kde kio-slave zu patchen um ein aktuelles Sicherheitsproblem das die manipulation von ftp URL's betrifft zu beseitigen. Leider wird in dem Artikel nicht genauer gesagt welcher der Patches die unter ftp://ftp.kde.org/pub/kde/security_patches zu finden sind dafür zuständig ist, und wie man ihn einspielt. Hab mir also die Datei post-3.3.2-kdelibs-kio.diff auf die Platte geladen und mit patch -p1 post-3.3.2-kdelibs-kio.diff die kdelibs-kio zu patchen. Führt aber zu nichts. Patch startet aber sagt gar nichts. Könnt mir bitte mal jemand erklären was ich tun muß. Ich hätte gedacht das das im Verzeichnis befindliche ReadMe irgend etwas erklärendes beitragen würde, aber es lässt sich noch nicht mal öffnen. Besten Dank Micha
Michael Schueller wrote:
Hallo Liste, gestern hab ich in der aktuellen Ausgabe des Linux-User gelesen das es sinnvoll wäre den kde kio-slave zu patchen um ein aktuelles Sicherheitsproblem das die manipulation von ftp URL's betrifft zu beseitigen. Leider wird in dem Artikel nicht genauer gesagt welcher der Patches die unter ftp://ftp.kde.org/pub/kde/security_patches zu finden sind dafür zuständig ist, und wie man ihn einspielt. Hab mir also die Datei post-3.3.2-kdelibs-kio.diff auf die Platte geladen und mit
patch -p1 post-3.3.2-kdelibs-kio.diff
Du weisst schon, dass dieser Patch für den Quelltext ist und du dann kde-libs neukompilieren musst? Mathias
Am Mittwoch, 9. März 2005 13:44 schrieb Mathias Weigt:
Du weisst schon, dass dieser Patch für den Quelltext ist und du dann kde-libs neukompilieren musst?
Mathias
Hi Mathias, ne, wußte ich nicht ... Ich nahm an das man installierte Libs patchen kann. Dann scheint ja die Aktion nicht ganz so einfach zu sein wie ich's annahm. Etwas entäuscht Micha
Michael Schueller <schueller-berlin@gmx.de> [9 Mar 2005 13:58:26 +0100]:
Ich nahm an das man installierte Libs patchen kann.
Könnte man, macht aber bei Vorliegen des Quellcodes und aller nötigen Entwicklungstools keinen Sinn. Ausserdem kannst du bei einem Quellcodepatch genau sehen, was geändert wird. Bei einem Binär-Patch müsstest du dem Lieferanten des Patches blind glauben. Philipp
Am Mittwoch, 9. März 2005 13:44 schrieb Mathias Weigt:
Du weisst schon, dass dieser Patch für den Quelltext ist und du dann kde-libs neukompilieren musst?
Mathias
Hi Mathias, ne, wußte ich nicht ... Ich nahm an das man installierte Libs patchen kann. Dann scheint ja die Aktion nicht ganz so einfach zu sein wie ich's annahm. Etwas entäuscht Micha
Hallo Michael, hallo Leute, Am Mittwoch, 9. März 2005 12:54 schrieb Michael Schueller:
gestern hab ich in der aktuellen Ausgabe des Linux-User gelesen das es sinnvoll wäre den kde kio-slave zu patchen um ein aktuelles Sicherheitsproblem das die manipulation von ftp URL's betrifft zu beseitigen. [...]
Wie wäre es einfach mit etwas Geduld? Wenn es Sicherheitsprobleme mit auf den SuSE-CDs/DVDs ausgelieferter Software gibt, findest Du in der Regel nach kurzer Zeit [1] [2] per YOU (YaST2 Online Update) ein Update. Gruß Christian Boltz [1] könnte sogar schon verfügbar sein, wenn ich an den Zeitbedarf für Druck und Versand des Linux-User denke ;-) [2] naja, falls Du auf update.pureserver.info zugreifst, dauert es ein paar Tage länger :-/ -- Die Borg sind einfach eine Allegorie auf M$: gross, toll und voller endloser Featuritis - aber wenn es ernst wird, sterben sie an einer Schutzverletzung. [Andreas Pohlke in drsst]
Am Donnerstag, 10. März 2005 20:42 schrieb Christian Boltz:
Am Mittwoch, 9. März 2005 12:54 schrieb Michael Schueller:
gestern hab ich in der aktuellen Ausgabe des Linux-User gelesen das es sinnvoll wäre den kde kio-slave zu patchen um ein aktuelles Sicherheitsproblem das die manipulation von ftp URL's betrifft zu beseitigen. [...]
Wie wäre es einfach mit etwas Geduld? Wenn es Sicherheitsprobleme mit auf den SuSE-CDs/DVDs ausgelieferter Software gibt, findest Du in der Regel nach kurzer Zeit [1] [2] per YOU (YaST2 Online Update) ein Update.
Deine Zuversicht möchte ich haben ... Es handelt sich hier um ein KDE Problem, und KDE wird nicht über YOU geuppt. Man kann natürlich auf den nächsten KDE Release warten und den via apt einspielen, aber das dauert erfahrungsgemäß auch immer ein wenig. Es gibt ja auch die Security Updates nicht für umsonst, ich frag(te) mich halt nur wie die angewendet werden. Aber wenn Mathias recht hat, und die nur durch ein neukompilieren der kdelib zur Anwendung gebracht werden können, dann find ich das etwas aufwendig für n schnellen Patch. Dann könnten sie ja auch gleich die gepatchten sourcen ins Netz stellen. Ich hatte eher an Kompare gedacht, das funktioniert aber irgendwie nicht . Davon abgesehn, wie schon Eingangs erwähnt, wundere ich mich das das ReadMe in dem ftp Verzeichniss nicht Lesbar ist, was issen das für n ReadMe das in einem unbekannten Format vorliegt ? Gruß Micha
On Friday 11 March 2005 11:01, Michael Schueller wrote:
Am Donnerstag, 10. März 2005 20:42 schrieb Christian Boltz:
Am Mittwoch, 9. März 2005 12:54 schrieb Michael Schueller:
gestern hab ich in der aktuellen Ausgabe des Linux-User gelesen das es sinnvoll wäre den kde kio-slave zu patchen um ein aktuelles Sicherheitsproblem das die manipulation von ftp URL's betrifft zu beseitigen. [...]
Wie wäre es einfach mit etwas Geduld? Wenn es Sicherheitsprobleme mit auf den SuSE-CDs/DVDs ausgelieferter Software gibt, findest Du in der Regel nach kurzer Zeit [1] [2] per YOU (YaST2 Online Update) ein Update.
Deine Zuversicht möchte ich haben ... Es handelt sich hier um ein KDE Problem, und KDE wird nicht über YOU geuppt.
??? Also mein KDE wird ueber YOU geupdatet. Ich weiss ja nicht was Du da fuer ein KDE hast, aber das von SUSE mitgelieferte wird es jedenfalls. Das Update fuer KDE gibt es ueber YOU: --------------------------------------------------------------------- kdelibs3 - KDE base libraries Fix security issue with and Java and Javascript usage. It was possible to by pass the sandbox enviroment. Protect against ftp command injection. Fixed Konqueror Window Injection Vulnerability. Hide passwords in URLs when they are visible to the user. (CAN-2004-1145, CAN-2004-1158) --------------------------------------------------------------------- Bis denne, Michael
Am Freitag, 11. März 2005 11:14 schrieb Michael Schulz:
On Friday 11 March 2005 11:01, Michael Schueller wrote:
Am Donnerstag, 10. März 2005 20:42 schrieb Christian Boltz:
Am Mittwoch, 9. März 2005 12:54 schrieb Michael Schueller:
gestern hab ich in der aktuellen Ausgabe des Linux-User gelesen das es sinnvoll wäre den kde kio-slave zu patchen um ein aktuelles Sicherheitsproblem das die manipulation von ftp URL's betrifft zu beseitigen. [...]
Wie wäre es einfach mit etwas Geduld? Wenn es Sicherheitsprobleme mit auf den SuSE-CDs/DVDs ausgelieferter Software gibt, findest Du in der Regel nach kurzer Zeit [1] [2] per YOU (YaST2 Online Update) ein Update.
Deine Zuversicht möchte ich haben ... Es handelt sich hier um ein KDE Problem, und KDE wird nicht über YOU geuppt.
??? Also mein KDE wird ueber YOU geupdatet. Ich weiss ja nicht was Du da fuer ein KDE hast, aber das von SUSE mitgelieferte wird es jedenfalls.
Naja, die von SuSE mitgelieferte Version ist es mittlerweile nicht mehr ( hier SuSE 9.1 KDE 3.3.2 a ). Dann bleibt mir wohl doch keine andere Wahl als .... ja was denn nun. Eigentlich wollt ich doch nur wissen wie man die security updates anwendet. Linux ist doch das System wo man ein wenig mehr wissen will (wollen sollte ?) als bei Windows ;) Micha
Hallo Michael (2x ;-) , hallo Leute, Am Freitag, 11. März 2005 11:35 schrieb Michael Schueller:
Am Freitag, 11. März 2005 11:14 schrieb Michael Schulz:
On Friday 11 March 2005 11:01, Michael Schueller wrote:
Am Donnerstag, 10. März 2005 20:42 schrieb Christian Boltz:
Am Mittwoch, 9. März 2005 12:54 schrieb Michael Schueller:
gestern hab ich in der aktuellen Ausgabe des Linux-User gelesen das es sinnvoll wäre den kde kio-slave zu patchen um ein aktuelles Sicherheitsproblem das die manipulation von ftp URL's betrifft zu beseitigen. [...]
Wie wäre es einfach mit etwas Geduld? Wenn es Sicherheitsprobleme mit auf den SuSE-CDs/DVDs ausgelieferter Software gibt, findest Du in der Regel nach kurzer Zeit [1] [2] per YOU (YaST2 Online Update) ein Update.
Es handelt sich hier um ein KDE Problem, und KDE wird nicht über YOU geuppt.
Was heißt "geuppt"? Falls Du meinst, dass Du keine höhere Versionsnummer abbekommst - das ist Absicht und auch gut so. Warum das "gut so" ist, steht in der FAQ: 3.1. Warum bietet SuSE keine neuen Versionen über das OnlineUpdate an? http://suse-linux-faq.koehntopp.de/q/q-install-updatepolitik.html
??? Also mein KDE wird ueber YOU geupdatet. Ich weiss ja nicht was Du da fuer ein KDE hast, aber das von SUSE mitgelieferte wird es jedenfalls.
Naja, die von SuSE mitgelieferte Version ist es mittlerweile nicht mehr ( hier SuSE 9.1 KDE 3.3.2 a ).
Moment - bei 9.1 wurde KDE 3.2.1 mitgeliefert, bei 9.2 3.3.0. Irgendwann hast Du also "externe" Pakete eingespielt, falls Deine Versionsangaben stimmen sollte. Damit bist Du auch selbst für die Beschaffung von Updates verantwortlich.
Dann bleibt mir wohl doch keine andere Wahl als .... ja was denn nun.
Für Originalversionen von CD/DVD: YOU aufrufen! Du bekommst zwar keine größere Versionsnummer, aber trotzdem Pakete ohne Sicherheitslücke. Für Fremdpakete kann SuSE das natürlich nicht anbieten. Du findest aber im o. g. FAQ-Text einen Link zum projects/-Verzeichnis auf dem SuSE-FTP, das die jeweils aktuelle KDE-Version enthält. Gruß Christian Boltz -- Nein, es ist nichts ungewöhnliches, wenn ein AppleShareIP 6 Fileserver abstürzt. Deswegen muß man nicht irgendwas reparieren. Es gibt keinen Grund. Er macht das einfach. Es ist OS 9. [Ratti in fontlinge-devel]
Am Freitag, 11. März 2005 20:49 schrieb Christian Boltz:
??? Also mein KDE wird ueber YOU geupdatet. Ich weiss ja nicht was Du da fuer ein KDE hast, aber das von SUSE mitgelieferte wird es jedenfalls.
Naja, die von SuSE mitgelieferte Version ist es mittlerweile nicht mehr ( hier SuSE 9.1 KDE 3.3.2 a ).
Moment - bei 9.1 wurde KDE 3.2.1 mitgeliefert, bei 9.2 3.3.0.
Irgendwann hast Du also "externe" Pakete eingespielt, falls Deine Versionsangaben stimmen sollte.
Sag mal Christian...Du kannst meinen Angaben schon glauben, was heißt hier "falls Deine Angaben stimmen".
Damit bist Du auch selbst für die Beschaffung von Updates verantwortlich.
Ja, Ja, und nochmals Ja ... Ich alleine bin für updates verantwortlich, und habe daher gefragt ob mir jemand sagen kann wie die security updates angewendet werden. Micha
Hallo Michael, hallo Leute, Am Freitag, 11. März 2005 22:50 schrieb Michael Schueller:
Am Freitag, 11. März 2005 20:49 schrieb Christian Boltz: [diverse Vorredner gekillt]
??? Also mein KDE wird ueber YOU geupdatet.
Naja, die von SuSE mitgelieferte Version ist es mittlerweile nicht mehr ( hier SuSE 9.1 KDE 3.3.2 a ).
Moment - bei 9.1 wurde KDE 3.2.1 mitgeliefert, bei 9.2 3.3.0.
Irgendwann hast Du also "externe" Pakete eingespielt, falls Deine Versionsangaben stimmen sollte.
Sag mal Christian...Du kannst meinen Angaben schon glauben, was heißt hier "falls Deine Angaben stimmen".
Das heißt schlicht und ergreifend, dass "von SuSE mitgelieferte Version", SuSE 9.1 und KDE 3.3.2a nicht zusammenpassen. Bei der 9.1 wurde nämlich definitiv nicht KDE 3.3.2a mitgeliefert. Und das hat mich eben stutzig gemacht. Ich wollte Dich bestimmt nicht des Flunkerns bezichtigen. Sorry, falls es so rübergekommen sein sollte ;-) Gruß Christian Boltz -- Hmm ... Du meinst das RamA ... Das macht das Frühstück gut ... denn wenn Du RamA verwendest, dann meckert die Frau nicht, wenn Du schon zum Frühstück vor dem Rechner sitzt. [Konrad Neitzel in suse-linux]
Michael Schueller <schueller-berlin@gmx.de> [Fr, 11 3 2005 22:50 +0100]:
Ich alleine bin für updates verantwortlich, und habe daher gefragt ob mir jemand sagen kann wie die security updates angewendet werden.
Source-Pakete holen, Patch einbauen und neue binäre Pakete bauen. Bei grundlegenden Paketen darfst dann aber u.U. dein komplettes KDE neu compilieren. Philipp
Am Mittwoch, 9. März 2005 12:54 schrieb Michael Schueller:
Hallo Liste, gestern hab ich in der aktuellen Ausgabe des Linux-User gelesen das es sinnvoll wäre den kde kio-slave zu patchen um ein aktuelles Sicherheitsproblem das die manipulation von ftp URL's betrifft zu beseitigen. Leider wird in dem Artikel nicht genauer gesagt welcher der Patches die unter ftp://ftp.kde.org/pub/kde/security_patches zu finden sind dafür zuständig ist, und wie man ihn einspielt. Hab mir also die Datei post-3.3.2-kdelibs-kio.diff auf die Platte geladen und mit
patch -p1 post-3.3.2-kdelibs-kio.diff
die kdelibs-kio zu patchen. Führt aber zu nichts. Patch startet aber sagt gar nichts. Könnt mir bitte mal jemand erklären was ich tun muß.
Ok, ich habe das folgendermaßen gelösst. Das src.rpm der kdelibs ziehen (kdelibs3-3.3.2-5.src.rpm) installieren mit # rpm -Uvh kdelibs3-3.3.2-5.src.rpm den in /usr/src/packages/SPECS kdelibs3.spec editieren. Ich habe das folgendermaßen gemacht. -Release auf 10 erhöht -patch 12 eingefügt -> # vi kdelibs3.spec ........... Summary: KDE base libraries Version: 3.3.2 Release: 10 %define kdelibs_patch_level a ...................... ........................... Patch9: x-kde-InitialPreference.diff Patch10: kde-config-libsuffix.diff Patch11: silence.diff Patch12: post-3.3.2-kdelibs-kioslave.patch Patch16: kde3rc.dif Patch17: artwork.diff Patch18: chinese-encoding.diff .............................. ............. %patch5 %patch7 %patch10 %patch11 %patch12 %patch16 %patch17 %patch18 %patch26 ............. den Patch post-3.3.2-kdelibs-kioslave.patch von KDE Server downloaden und nach /usr/src/packages/SOURCES kopieren (das ist der von mir als Patch 12 eingefügte Patch), sollte "der" Patch sein. dann # rpmbuild -bb kdelibs3.spec ausführen. Ggf die noch fehlenden Pakete nachinstallieren, und # rpmbuild -bb kdelibs3.spec noch mal ausführen. Nach entsprechnder Zeit stehen die dann die gepatchten kdelibs zur Verfügung. :-)) Alle Angaben ohne Gewähr und auf eigene Gefahr ;-) hth Frank
Am Freitag, 11. März 2005 22:31 schrieb Frank Noack:
Am Mittwoch, 9. März 2005 12:54 schrieb Michael Schueller: [...]
Könnt mir bitte mal jemand erklären was ich tun muß.
Ok, ich habe das folgendermaßen gelösst. [...] Alle Angaben ohne Gewähr und auf eigene Gefahr ;-)
Nabnd Frank, vielen Dank für Dein kleines HowTo ;) Werd mich morgen mal dran machen ...
hth Frank
Schönen Abend noch .. Micha
participants (6)
-
Christian Boltz -
Frank Noack -
Mathias Weigt -
Michael Schueller -
Michael Schulz -
Philipp Thomas