[devel] I: новый libssl7

Alexander Bokovoy =?iso-8859-1?q?ab_=CE=C1_altlinux=2Eorg?=
Сб Авг 9 09:53:32 MSD 2008


2008/8/9 Evgeny Sinelnikov <sin на altlinux.ru>:
> Здравствуйте,
>
> В эти выходные планируется обновить openssl до версии 0.9.8h. В свете
> того, что апстрим иногда не следит за своими сонеймами, новый openssl
> бинарно несовместим с текущей сборкой в Сизифе. На текущий момент
> библиотека предоставляется пакетом libssl6. Этот пакет планируется
> сохранять неграничено долго. Но новые сборки будут проводится на
> libssl7.
А libssl6 -- это то, что нужно сторонним (проприетарным) пакетам,
собранным с текущим openssl? Каком срок предыдущей жизни soname? Дело
в том, что помимо имеющихся в Сизифе приложений, которым обязательно
нужно старое API (если они не переехали на новое), есть еще и ПО,
которое внедренцы ставят поверх систем [в ближайшем будущем полученных
из Сизифа]. Для такой системообразующей библиотеки это важный аспект.

Каким образом планируется добиться автоматического выбора libssl7 при
сборке вместо libssl6 после попадания этого пакета в Сизиф?

> В плане пересборки с новым openssl могут возникнуть осложнения из-за
> того, что теперь он собран с поддержкой kerberos, то есть слинкован с
> библиотеками из пакета libkrb5. В связи с этим у пакета libssl-devel
> появилась зависимость на пакет libkrb5-devel. Последнее, из-за
> специфичности расположения заголовочных файлов в нашей сборке MIT
> Kerberos, влечёт за собой следующую проблему - не все приложения
> корректно выставляют CFLAGS из /usr/lib/pkgconfig/openssl.pc,
> /usr/lib/pkgconfig/libssl.pc или /usr/lib/pkgconfig/libcrypto.pc.
> Сейчас CFLAGS выглядит таким образом:
> $ pkg-config libcrypto --cflags
> -I/usr/include/krb5
Можно составить список пакетов, которые перестанут собираться? Если их
количество исчисляется десятком, то было бы неплохо перед отправкой
libssl7 озаботиться помощью мейнтейнерам в виде патчей в багзиллу.

> Если ранее отсутствие этого не влияло, то сейчас приведёт к
> несобираемости таких пакетов. В нашем случае могут перестать
> собираться даже те пакеты, которые нормально могли бы быть собраны в
> Fedora, где заголовочные файлы kerberos лежат в /usr/include, а не
> вынесены в /usr/include/krb5, как у нас.
Я считаю, что "вынос" в /usr/include/krb5 правилен -- нам еще heimdal
содержать в скором будущем.
-- 
/ Alexander Bokovoy


Подробная информация о списке рассылки Devel