LinuxTechHack's: novembro 2010

Bom, como foi feito essa publicação no site under-linux, resolvi explicar como instalar a versão corrigida do bzip2. Segue o passo a passo no final desta noticia.

Publicado em 24-09-2010 12:35

Um erro encontrado na biblioteca livre de compactação libbzip2 pode ser perfeitamente explorado utilizando arquivos especialmente preparados para provocar um integer overflow. Como resultado, um acidente pode ocorrer dentro de aplicativos como o bzip2, que fazem uso da referida biblioteca, e em algumas circunstâncias, esse erro pode ser uma porta aberta para a injeção e execução de códigos.

A interação do usuário não é necessária para desencadear o problema em questãi. O virus scanner free ClamAV, por exemplo, utiliza o bzip2 do pacote libbz2 para digitalizar arquivos compactados. Em um gateway, o leitor verifica automaticamente todos os arquivos de passagem e, portanto, que estejam vulneráveis. Em decorrência disso, os desenvolvedores do ClamAV lançaram a versão 0.96.3 para corrigir o erro, e os desenvolvedores do bzip2 também lançaram uma versão corrigida, a 1.0.6, que está disponível em código-fonte para download. Alguns distribuidores Linux já começaram a fornecer pacotes atualizados, enfatizando que no mundo Linux, bzip2 tem sido a ferramenta de alta compactação considerada a mais rápida e assim, sendo a mais utilizada.

Saiba Mais:

[1] Bzip2: http://www.bzip.org/downloads.html
[2] Heise On-line: http://www.h-online.com/security/new...l-1082837.html

O primeiro passo que quiz dar foi mostrar o com olhar a versão do bzip2 que você está utilizando. Há duas formas para isso, com o comando:
bzip2 -v
para mostra a versão ou
bzip2 -l
para mostrar a licença

O resultado de ambos é o mesmo:

já que eu já baixei o fonte compactado em gzip, vou descompactá-lo com o comando

tar -xzvf bzip2-1.0.6.tar.gz

Depois de entrar no diretório depois de descompactado, se ler o READ, verá que a compilação e instalação é feita apenas com os comando "make" e "make install"

O primeiro passo

make