[devel] [Bug 24333] CVE-2010-3385: insecure library loading
Dmitry V. Levin
ldv на altlinux.org
Вс Окт 17 09:27:26 UTC 2010
On Sun, Oct 17, 2010 at 12:52:32PM +0400, Vitaly Lipatov wrote:
> В сообщении от Суббота 16 октября 2010 Dmitry V. Levin написал(a):
> ...
> > > Так а всё-таки, у нас есть эта проблема CVE-2010-3385, или нет?
> >
> > Есть, конечно, и решать её по прежнему надо в приложениях, которые
> > формируют LD_LIBRARY_PATH.
> А почему, когда в PATH был ./ по умолчанию, мы убрали его из PATH, а когда то
> же самое делает ld, мы правим LD_LIBRARY_PATH?
ld.so не игнорирует элементы PATH, определённые пользователем,
а LD_LIBRARY_PATH по умолчанию вообще отсутствует.
> И не надо ли создать скрипт типа
> . /sbin/add_to_ld_library_path NEW_PATH
Вместо переменной LD_LIBRARY_PATH лучше собирать ELFы с RPATH.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : отсутствует
Тип : application/pgp-signature
Размер : 198 байтов
Описание: отсутствует
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20101017/334a2294/attachment.bin>
Подробная информация о списке рассылки Devel