[devel] Re: verify-elf
Dmitry V. Levin
=?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Пн Сен 26 20:57:57 MSD 2005
On Mon, Sep 26, 2005 at 08:05:59PM +0400, Alexey Tourbin wrote:
> On Mon, Sep 26, 2005 at 07:26:23PM +0400, Dmitry V. Levin wrote:
> > > Так как "задавить" /usr/lib/apache/libhttpd.so? Это же не публичная
> > > библиотека (в частности, её нет в /etc/ld.so.cache). К libhttpd.so
> > > можно применить только очень слабую проверку.
> >
> > Какя разница, если у ELF shared object есть undefined symbol из zlib,
> > разве это не достаточно веская причина, чтобы давить?
>
> Тогда нужно обобщить: если у ELF shared object есть undefined symbol,
> который предоставляет одна и только одна публичная библиотека (и никто
> другой), то такой ELF shared object нужно давить, потому что он не
> слинкован с этой библиотекой, тогда как очевидно должен быть слинкован.
>
> Теперь, как это закодить на шелле? Сложновато получается.
> С другой стороны, кто-то может предоставлять символы из zlib.
"Я вам попредоставляю".
> Я пока предлагаю сделать сильную проверку только для исполняемых файлов
> и публичных библиотек. На самом деле исполняемые файлы проверять не
> обязательно, так как сам факт того, что их удалось слинковать, уже, как
> правило, означает, что в них нет undefined symbols. Но эта проверка
> актуальна для уже собранных пакетов, в изменившейся среде. Проверка для
> публичных библиотек по требованию похожа на -Wl,-z,defs.
>
> Для всего остального можно делать только слабую проверку на основе
> полного списка предоставляемых символов. Иначе можно задавить
> что-нибудь "не то".
Я согласен.
> > > 2) Подумать, как в brp-alt "протащить" полный список предоставляемых
> > > символов на всём репозитарии; вместо полного списка (60M) можно сделать
> > > bloom filter (2M), но проблема по существу остается.
> > Тоже не проблема, файл i586/base/contents_index того же размера.
>
> Ещё этот список нужно "наращивать" ELF'ами, которые лежат в buildroot'е.
> Иначе опять появляется вероятность задавить что-нибудь не то.
> Наращивание списка должно быть реализовано не в verify-elfsym, а где-то
> ещё. Но это уже будет видно со временем. Сейчас нужно наладить
> регулярные пересборки и сделать несколько "холостых" пересборок (без
> проверки ELF'ов), чтобы закрыть старые ошибки.
Конечно.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20050926/d9bba217/attachment-0001.bin>
Подробная информация о списке рассылки Devel