[devel] Re: verify-elf

Dmitry V. Levin =?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Пн Сен 26 20:57:57 MSD 2005 

On Mon, Sep 26, 2005 at 08:05:59PM +0400, Alexey Tourbin wrote:
> On Mon, Sep 26, 2005 at 07:26:23PM +0400, Dmitry V. Levin wrote:
> > > Так как "задавить" /usr/lib/apache/libhttpd.so?  Это же не публичная
> > > библиотека (в частности, её нет в /etc/ld.so.cache).  К libhttpd.so
> > > можно применить только очень слабую проверку.
> > 
> > Какя разница, если у ELF shared object есть undefined symbol из zlib,
> > разве это не достаточно веская причина, чтобы давить?
> 
> Тогда нужно обобщить: если у ELF shared object есть undefined symbol,
> который предоставляет одна и только одна публичная библиотека (и никто
> другой), то такой ELF shared object нужно давить, потому что он не
> слинкован с этой библиотекой, тогда как очевидно должен быть слинкован.
> 
> Теперь, как это закодить на шелле?  Сложновато получается.
> С другой стороны, кто-то может предоставлять символы из zlib.

"Я вам попредоставляю".

> Я пока предлагаю сделать сильную проверку только для исполняемых файлов
> и публичных библиотек.  На самом деле исполняемые файлы проверять не
> обязательно, так как сам факт того, что их удалось слинковать, уже, как
> правило, означает, что в них нет undefined symbols.  Но эта проверка 
> актуальна для уже собранных пакетов, в изменившейся среде.  Проверка для
> публичных библиотек по требованию похожа на -Wl,-z,defs.
> 
> Для всего остального можно делать только слабую проверку на основе
> полного списка предоставляемых символов.  Иначе можно задавить
> что-нибудь "не то".

Я согласен.

> > > 2) Подумать, как в brp-alt "протащить" полный список предоставляемых
> > > символов на всём репозитарии; вместо полного списка (60M) можно сделать
> > > bloom filter (2M), но проблема по существу остается.
> > Тоже не проблема, файл i586/base/contents_index того же размера.
> 
> Ещё этот список нужно "наращивать" ELF'ами, которые лежат в buildroot'е.
> Иначе опять появляется вероятность задавить что-нибудь не то.
> Наращивание списка должно быть реализовано не в verify-elfsym, а где-то
> ещё.  Но это уже будет видно со временем.  Сейчас нужно наладить
> регулярные пересборки и сделать несколько "холостых" пересборок (без
> проверки ELF'ов), чтобы закрыть старые ошибки.

Конечно.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20050926/d9bba217/attachment-0001.bin>

Подробная информация о списке рассылки Devel