binutils ohne Security-Support

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

binutils ohne Security-Support

Paul Muster-22
Hallo,

mittels check-support-status aus dem Paket debian-security-support kann
man prüfen (auch z.B. wöchentlich per cron), ob für alle installierten
Pakete Security-Support besteht. Bei mir ist offenbar ein Paket kritisch:

---
root@host ~ # check-support-status
Limited security support for one or more packages

Unfortunately, it has been necessary to limit security support for some
packages.

The following packages found on this system are affected by this:

* Source:binutils
   Details: Not covered by security support
   Affected binary packages:
   - binutils (installed version: 2.31.1-16)
   - binutils-common:amd64 (installed version: 2.31.1-16)
   - binutils-x86-64-linux-gnu (installed version: 2.31.1-16)
   - libbinutils:amd64 (installed version: 2.31.1-16)

root@host ~ # aptitude why
why      why-not
root@host ~ # aptitude why binutils
i   needrestart Depends binutils
---

Nun finde ich needrestart aber schick und würde es gerne behalten. Dazu
muss ich binutils in Kauf nehmen.

Und nun? Was tun?


Danke euch & viele Grüße

Paul

Reply | Threaded
Open this post in threaded view
|

Re: binutils ohne Security-Support

Sven Hartge-5
Paul Muster <[hidden email]> wrote:
> * Source:binutils
>   Details: Not covered by security support

> Nun finde ich needrestart aber schick und würde es gerne behalten. Dazu
> muss ich binutils in Kauf nehmen.

> Und nun? Was tun?

Gar nichts muss du tun. Das Ganze geht auf
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=948634 zurück, mit
Erklärung u.a. in
https://lists.debian.org/debian-security/2019/12/msg00007.html

Praktisch existierte dieser Zustand schon immer so, wurde jetzt einmal
sichtbar dokumentiert, ist aber nicht wirklich problematisch.

Solange du z.B. keinen Web-Dienst anbietet, der "corrupt, or potentially
corrupt, input files" verarbeitet, gibt es kein Problem.
<https://sourceware.org/bugzilla/show_bug.cgi?id=24689#c8>

Dazu kommt, dass die potentiellen Bugs ja nicht in jeder der vielen
Komponenten sind, sondern nur in bestimmten, welche dazu noch von z.B.
needrestart gar nicht benutzt werden.

S!

--
Sigmentation fault. Core dumped.

Reply | Threaded
Open this post in threaded view
|

Re: binutils ohne Security-Support

Paul Muster-22
On 17.01.20 22:34, Sven Hartge wrote:
> Paul Muster <[hidden email]> wrote:

>> * Source:binutils
>>    Details: Not covered by security support
>
>> Nun finde ich needrestart aber schick und würde es gerne behalten. Dazu
>> muss ich binutils in Kauf nehmen.
>
>> Und nun? Was tun?
>
> Gar nichts muss du tun.

Alles klar. Danke einmal mehr für die ausführliche und hilfreiche
Erklärung inkl. Links!


Nun würde ich mir wünschen, dass check-support-status eine
Konfigurationsdatei hat, in der ich erfassen könnte, bezüglich binutils
nicht mehr "alarmiert" zu werden. Mal gucken.


Viele Grüße

Paul