[devel] Re: verify-elf - Alexey Tourbin

ALT Linux Team development discussions
 help / color / mirror / Atom feed

From: Alexey Tourbin <at@altlinux.ru>
To: ALT Devel discussion list <devel@altlinux.ru>
Subject: [devel] Re: verify-elf
Date: Mon, 26 Sep 2005 20:05:59 +0400
Message-ID: <20050926160559.GE3650@solemn.turbinal.org> (raw)
In-Reply-To: <20050926152623.GB13889@basalt.office.altlinux.org>

[-- Attachment #1: Type: text/plain, Size: 2060 bytes --]

On Mon, Sep 26, 2005 at 07:26:23PM +0400, Dmitry V. Levin wrote:
> > Так как "задавить" /usr/lib/apache/libhttpd.so?  Это же не публичная
> > библиотека (в частности, её нет в /etc/ld.so.cache).  К libhttpd.so
> > можно применить только очень слабую проверку.
> 
> Какя разница, если у ELF shared object есть undefined symbol из zlib,
> разве это не достаточно веская причина, чтобы давить?

Тогда нужно обобщить: если у ELF shared object есть undefined symbol,
который предоставляет одна и только одна публичная библиотека (и никто
другой), то такой ELF shared object нужно давить, потому что он не
слинкован с этой библиотекой, тогда как очевидно должен быть слинкован.

Теперь, как это закодить на шелле?  Сложновато получается.
С другой стороны, кто-то может предоставлять символы из zlib.

Я пока предлагаю сделать сильную проверку только для исполняемых файлов
и публичных библиотек.  На самом деле исполняемые файлы проверять не
обязательно, так как сам факт того, что их удалось слинковать, уже, как
правило, означает, что в них нет undefined symbols.  Но эта проверка 
актуальна для уже собранных пакетов, в изменившейся среде.  Проверка для
публичных библиотек по требованию похожа на -Wl,-z,defs.

Для всего остального можно делать только слабую проверку на основе
полного списка предоставляемых символов.  Иначе можно задавить
что-нибудь "не то".

> > 2) Подумать, как в brp-alt "протащить" полный список предоставляемых
> > символов на всём репозитарии; вместо полного списка (60M) можно сделать
> > bloom filter (2M), но проблема по существу остается.
> Тоже не проблема, файл i586/base/contents_index того же размера.

Ещё этот список нужно "наращивать" ELF'ами, которые лежат в buildroot'е.
Иначе опять появляется вероятность задавить что-нибудь не то.
Наращивание списка должно быть реализовано не в verify-elfsym, а где-то
ещё.  Но это уже будет видно со временем.  Сейчас нужно наладить
регулярные пересборки и сделать несколько "холостых" пересборок (без
проверки ELF'ов), чтобы закрыть старые ошибки.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

next prev parent reply	other threads:[~2005-09-26 16:05 UTC|newest]

Thread overview: 15+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2005-09-26 12:52 [devel] q: _perl_vendor_check_dso problems Vladimir Lettiev
2005-09-26 13:01 ` [devel] " Alexey Tourbin
2005-09-26 13:23   ` Vladimir Lettiev
2005-09-26 13:57     ` Alexey Tourbin
2005-09-26 14:09       ` Alexey I.Froloff
2005-09-26 14:13       ` Dmitry V. Levin
2005-09-26 14:24         ` Michael Shigorin
2005-09-26 14:25         ` Alexey I.Froloff
2005-09-26 14:49           ` Alexey Tourbin
2005-09-26 21:39           ` Igor Zubkov
2005-09-26 14:41         ` Alexey Tourbin
2005-09-26 15:26           ` [devel] verify-elf Dmitry V. Levin
2005-09-26 16:05             ` Alexey Tourbin [this message]
2005-09-26 16:57               ` [devel] verify-elf Dmitry V. Levin
2005-09-26 17:56       ` [devel] Re: q: _perl_vendor_check_dso problems Konstantin A.Lepikhov

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20050926160559.GE3650@solemn.turbinal.org \
    --to=at@altlinux.ru \
    --cc=devel@altlinux.ru \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git