Correção de Falha no bzip2

 Esse é mais um artigo que estou trazendo de volta avida do meu antigo blog. Na época, haviam publicado no dia 24/09/2010, sobre uma vulnerabilidade no Bzip2 e a correção disponibilizada pelo próprio criador do projeto. Eu resolvi então, explicar como instalá-lo essa publicação , resolvi explicar como instalar a versão corrigida do bzip2.

logo do bzip2

Correção de Falha no bzip2

 Um erro havia sido encontrado na biblioteca livre de compactação libbzip2,  que podia ser perfeitamente explorada utilizando arquivos especialmente preparados para provocar um integer overflow. Como resultado, um acidente pode ocorrer dentro de aplicativos como o bzip2, que fazem uso da referida biblioteca e em algumas circunstâncias, esse erro pode ser uma porta aberta para a injeção e execução de códigos.

A interação do usuário não é necessária para desencadear o problema em questão. O virus scanner free ClamAV, por exemplo, utiliza o bzip2 do pacote libbz2 para digitalizar arquivos compactados. Em um gateway, o leitor verifica automaticamente todos os arquivos de passagem e, portanto, que estejam vulneráveis.


 Em decorrência disso, os desenvolvedores do ClamAV lançaram a versão 0.96.3 para corrigir o erro, e os desenvolvedores do bzip2 também lançaram uma versão corrigida, a 1.0.6, que está disponível em código-fonte para download. Alguns distribuidores Linux já começaram a fornecer pacotes atualizados, enfatizando que no mundo Linux, bzip2 tem sido a ferramenta de alta compactação considerada a mais rápida e assim, sendo a mais utilizada.

 De lá para cá, essa foi a única atualização que o bzip2 recebeu:
ultima versão do bzip2 hoje

Ou pode ser verificado no próprio site do porjeto

http://www.bzip.org/downloads.html

 O primeiro passo que quis dar, foi mostrar o com verificar a versão do bzip2 que você está utilizando. Há duas formas para isso, com o comando:
 bzip2 -V  para mostra a versão ou
 bzip2 -l para mostrar a licença
 O resultado de ambos é o mesmo:

ultima versão do bzip2 na época que ocorreu o problema

já que eu já baixei o fonte compactado em gzip, vou descompactá-lo com o comando
tar -xzvf bzip2-1.0.6.tar.gz

descompactando-o

processo de descompactação

 Depois de entrar no diretório depois de descompactado, se ler o READ, verá que a compilação e instalação é feita apenas com os comando "make" e "make install". O primeiro passo:
make
comando make para gerar os binários.

depois disso, antes de instalar, pode-se realizar uma simulação de como será feito a instalação com o seguinte:
make -n install
"make -n install" mostrará o processo de instalação (sem instalá-lo)

Não é necessário fazer isso, foi só para fazer uma demonstração de que é possível realizar isso.
Pode-se também determinar aonde vai ser instalado com o prefix. Vamos fazer então uso da simulação:
make -n install PREFIX=/bin
make install utilizando prefixo (somente mais uma simulação com o -n)

Próximo passo, instalá-lo:
make install
instalação

 Bom, por fim pode-se ver com o primeiro comando a nova versão sendo utilizada:
bzip2 -l
verificação da versão utilizada

 E é possível ver que a data da nova versão é de 06 de setembro de 2010. 

Saiba Mais:

Comente com o Facebook:

Nenhum comentário:

Postar um comentário

Marcadores

A pior história sobre Linux que já ouvi (5) A.I (1) ambiente gráfico (13) AMD (13) analise (8) Andriod (8) artigo (5) benchmark (1) BSDs (14) btrfs (8) Caixa de Ferramentas do UNIX (21) canto do Diego Lins (2) certificações Linux (7) Código Fonte (53) comandos (16) comp (1) compressores (5) container (2) CPU (12) criptografia (2) crowdfunding (9) cursos (18) daemons (13) Debian (30) desenvolvimento (52) desktop (14) DevOps (1) DevSecOps (1) dic (1) Dica de leitura (49) dica DLins (2) dicas do Flávio (27) diocast (1) dioliunx (3) distribuições Linux (11) Docker (16) DragonflyBSD (9) ead Diolinux (2) edição de vídeo (4) EMMI Linux (4) emuladores (4) endless (5) English interview (2) Enless OS (2) entrevista (16) espaço aberto (87) evento (3) facebook (1) filesystem (54) financiamento coletivo (2) fork (2) fox n forests (4) FreeBSD (9) Funtoo Linux (13) games (87) gerenciadores de pacotes (1) GOG (3) google (8) gpu (1) hardware (94) I.A (1) init system (7) Intel (14) IoT (1) ispconfig (1) jogos (31) kernel (114) lançamento (32) leis (1) LFCS (1) licenças (7) Linus (14) Linux (194) linux foundation (3) linux para leigos (1) live (4) LPI (10) LTS (1) machine learning (1) mesa redonda (28) microst (1) muito além do GNU (106) não viva de boatos (10) navegadores (2) NetBSD (3) novatec (17) o meu ambiente de trabalho (3) off-topic (14) open source (76) OpenBSD (3) OpenShift (1) os vários sabores de Linux (33) padrim (2) palestras e eventos (2) partições (6) pentest (6) processadores (20) professor Augusto Manzano (11) Programação (38) propagandas com Linux (8) Red Hat (10) redes (2) resenha nerd (4) Resumo da Semana do Dlins (2) resumo do Tux (23) retrospectiva Linux (1) runlevel (2) segurança digital (13) servidores (1) sistema operacional (13) Software livre e de código aberto (150) sorteio (3) Steam (8) Steam no Linux (6) supercomputadores (3) suse (3) systemd (8) terminal (71) toca do tux (1) toybox (12) tutorial (2) Tux (2) unboxing (7) UNIX (16) UNIX Toolbox (15) vartroy (1) vga (1) vulnerabilidade (3) wayland (1) whatsapp (1) Windows Subsystem for Linux (1) wine (11) WoT (1) ZFS (4)