Bom, como foi feito essa publicação no site under-linux, resolvi explicar como instalar a versão corrigida do bzip2. Segue o passo a passo no final desta noticia.
Publicado em 24-09-2010 12:35
Publicado em 24-09-2010 12:35
Um erro encontrado na biblioteca livre de compactação libbzip2 pode ser perfeitamente explorado utilizando arquivos especialmente preparados para provocar um integer overflow. Como resultado, um acidente pode ocorrer dentro de aplicativos como o bzip2, que fazem uso da referida biblioteca, e em algumas circunstâncias, esse erro pode ser uma porta aberta para a injeção e execução de códigos.
A interação do usuário não é necessária para desencadear o problema em questãi. O virus scanner free ClamAV, por exemplo, utiliza o bzip2 do pacote libbz2 para digitalizar arquivos compactados. Em um gateway, o leitor verifica automaticamente todos os arquivos de passagem e, portanto, que estejam vulneráveis. Em decorrência disso, os desenvolvedores do ClamAV lançaram a versão 0.96.3 para corrigir o erro, e os desenvolvedores do bzip2 também lançaram uma versão corrigida, a 1.0.6, que está disponível em código-fonte para download. Alguns distribuidores Linux já começaram a fornecer pacotes atualizados, enfatizando que no mundo Linux, bzip2 tem sido a ferramenta de alta compactação considerada a mais rápida e assim, sendo a mais utilizada.
Saiba Mais:
[1] Bzip2: http://www.bzip.org/downloads.
[2] Heise On-line: http://www.h-online.com/
O primeiro passo que quiz dar foi mostrar o com olhar a versão do bzip2 que você está utilizando. Há duas formas para isso, com o comando:
bzip2 -v
para mostra a versão ou
bzip2 -l
para mostrar a licença
O resultado de ambos é o mesmo:
depois disso, antes de instalar, pode-se realizar uma simulação de como será feito a instalação com o seguinte
A interação do usuário não é necessária para desencadear o problema em questãi. O virus scanner free ClamAV, por exemplo, utiliza o bzip2 do pacote libbz2 para digitalizar arquivos compactados. Em um gateway, o leitor verifica automaticamente todos os arquivos de passagem e, portanto, que estejam vulneráveis. Em decorrência disso, os desenvolvedores do ClamAV lançaram a versão 0.96.3 para corrigir o erro, e os desenvolvedores do bzip2 também lançaram uma versão corrigida, a 1.0.6, que está disponível em código-fonte para download. Alguns distribuidores Linux já começaram a fornecer pacotes atualizados, enfatizando que no mundo Linux, bzip2 tem sido a ferramenta de alta compactação considerada a mais rápida e assim, sendo a mais utilizada.
Saiba Mais:
[1] Bzip2: http://www.bzip.org/downloads.
[2] Heise On-line: http://www.h-online.com/
O primeiro passo que quiz dar foi mostrar o com olhar a versão do bzip2 que você está utilizando. Há duas formas para isso, com o comando:
bzip2 -v
para mostra a versão ou
bzip2 -l
para mostrar a licença
O resultado de ambos é o mesmo:
já que eu já baixei o fonte compactado em gzip, vou descompactá-lo com o comando
tar -xzvf bzip2-1.0.6.tar.gz
Depois de entrar no diretório depois de descompactado, se ler o READ, verá que a compilação e instalação é feita apenas com os comando "make" e "make install"
O primeiro passo
make
make -n install
Não é necessário fazer isso, foi só para fazer uma demonstração de que é possível realizar isso.
Pode-se também determinar aonde vai ser instalado com o prefix. Vamos fazer então uso da simulação:
make -n install PREFIX=/bin
Próximo passo, instalá-lo:
make install
Bom, por fim pode-se ver com o primeiro comando a nova verção sendo utilizada:
bzip2 -l
E é possível ver que a data da nova versão é de 06 de setembro de 2010.
Nenhum comentário:
Postar um comentário