Czy wadliwy pakiet RPM może uszkodzić bazę rpm

[mariusz]

Ostatnio miałem kilka przypadków, w których ( tak mi się przynajmniej wydaje ) uszkodzony, źle przygotowany lub w inny sposób wadliwy pakiet *.RPM uszkodził mi bazę rpm.

 

Nie jestem tego do końca pewien, ponieważ nie stwierdziłem tego od razu po instalacji pakietu lecz dopiero po pewnym czasie - przy okazji instalacji czegoś innego.

Objaw był taki że każda ( prawie każda ) próba instalacji kolejnych pakietów kończyła się błędem ochrony. Pomagało dopiero przebudowanie bazy rpm.

 

Początkowo myślałem że jest to jakiś feler baz rpm ponieważ znalazłem kilka opisów podobnych problemów, jednak zauważyłem pewną zależność pomiędzy występowaniem tej awarii a instalacją pakietów.

 

Czy komuś chciało się kiedyś zagłębić w dokumentację bazy rpm aby stwierdzić czy wynikia to z jej schematu czy świadczy o jakimś bugu w bazach rpm ?

[Krzywy]

Ktoraś wersja poczatkowa rpm'a 4.1 była walnięta, w penych sytuacjach przy instaalcji pakietu rpm poprostu się wieszał i nie szło zainstalować pakietu. Ubicie procesu powodowało rozsypanie się bazy rpm'a a tym samym nie dało się później zainstalować jakiegoskolwiek bo albo:

- wyrzucał błąd bazy rpm

- albo tak jak sam pisałeś core dumped czy też błąd ochrony pamięci (chociaż tutaj wplyw może miec też kernel z jakimiś patchami security ustawionymi na jakieś bardziej restrykcyjne działania).

Tak wiec instalowałeś cos nowego a on sobie robił i robił i końca nie było widać. Od razu mówię ze syctacja miała miejce tylkow specyficznych warunkach nie mówię ze to nie działało u każdego musały zajść pewne okoliczności ku postawniu takiego błędu. ( akurat u mnie nie miała miejsca taka sytuacja ale wiem, że się zdarzało)

 

Poźniej z moich doświadczeń nie spotkałem się z takimi problemami w wyzszych wersjach pakietu.

 

Co się tyczy czy błędy rpm może smaścić bazę, to Ci odpowiadam, że jesli wejdziesz, z źle wyczyszczonymi butami do łożka komuś to (_napewno_ → na pewno) ORT zostana jakieś ślady i trzeba je później usuwać, tak samo jest z bazą rpm'a jeśli zainstalujesz jakiś pakiet ktory robił pseudo-packager albo zainstalujesz pakiet na własne ryzyko nie uważajać na wysteppujące zależności itp.

 

Instaluj pakiety z rozwagą i głową. masz opcje --test żeby przestestować ewentualne problemy na które napotyka pakiet rpm'a.

 

Nie polecam na siłe robic rpm -Uhv ... z opcjami --nodeps gdyż gubisz zależności i wtedy nie dziw się jak cześc rzeczy Ci nagle srzela albo baza sie rozsypuje.

 

Pozdr,

[mariusz]

Ktoraś wersja poczatkowa rpm'a 4.1 była walnięta, w penych sytuacjach przy instaalcji pakietu rpm poprostu się wieszał i nie szło zainstalować pakietu. Ubicie procesu powodowało rozsypanie się bazy rpm'a a tym samym nie dało się później zainstalować jakiegoskolwiek bo albo:

- wyrzucał błąd bazy rpm

- albo tak jak sam pisałeś core dumped czy też błąd ochrony pamięci

 

Spotkałem się z tym zjawiskiem, ale nie w tym problem - mówię o aktualnych wersjach rpm'a

 

Co się tyczy czy błędy rpm może smaścić bazę, to Ci odpowiadam, że jesli wejdziesz, z źle wyczyszczonymi butami do łożka komuś to (_napewno_ → na pewno) ORT zostana jakieś ślady i trzeba je później usuwać, tak samo jest z bazą rpm'a jeśli zainstalujesz jakiś pakiet ktory robił pseudo-packager albo zainstalujesz pakiet na własne ryzyko nie uważajać na wysteppujące zależności itp.

 

Instaluj pakiety z rozwagą i głową. masz opcje --test żeby przestestować ewentualne problemy na które napotyka pakiet rpm'a.

 

Nie polecam na siłe robic rpm -Uhv ... z opcjami --nodeps gdyż gubisz zależności i wtedy nie dziw się jak cześc rzeczy Ci nagle srzela albo baza sie rozsypuje.

 

Pozdr,

 

No cóż - mówiłem o normalnym używaniu rpm'a, tzn. bez --force, --nodeps itd.

 

Chodzi mi o informację czy właśnie pseudo-packager tworząc pakiet może go tak spaskudzić aby ten rozsypał bazę - przy normalnej instalacji ( patrz wyżej - normalna instalacja )

Opcja --test też nie załatwia sprawy - podczas instalacji jest wszystko OK, --test też nie zgłasza problemów, nieprzyjemności zaczynają się dopiero po zainstalowaniu - wygląda to tak jakby wpis do bazy bzdur potrafił bazę rozsypać - oczywiście wychodzę z założenia, że baza nie powinna dać sobie zapisać błędnych infomacji, które mogą ją uszkodzić

 

Zdarzyły mi się takie przypadki i zaczynam się niepokoić bezpieczeństwem rpm'a :cry:

[Krzywy]

No cóż - mówiłem o normalnym używaniu rpm'a, tzn. bez --force, --nodeps itd.

 

Chodzi mi o informację czy właśnie pseudo-packager tworząc pakiet może go tak spaskudzić aby ten rozsypał bazę - przy normalnej instalacji ( patrz wyżej - normalna instalacja )

Opcja --test też nie załatwia sprawy - podczas instalacji jest wszystko OK, --test też nie zgłasza problemów, nieprzyjemności zaczynają się dopiero po zainstalowaniu - wygląda to tak jakby wpis do bazy bzdur potrafił bazę rozsypać - oczywiście wychodzę z założenia, że baza nie powinna dać sobie zapisać błędnych infomacji, które mogą ją uszkodzić

 

Zdarzyły mi się takie przypadki i zaczynam się niepokoić bezpieczeństwem rpm'a :cry:

 

 

Hmmm to przyznam, że specyficzne warunki masz ku temu, ze coś takiego Ci wystąpiło, pakiet można zepsuć jak każdą inną rzecz, wystarczy trochę: nieobycią z tematyką budowy rpm'a , przypadek, złośliwość(chociaz to wykluczam).

Ja spotkałem się w moich paroletnich zmaganiach z tematem tylko z problemami o których Ci pisałem wcześniej, nie miałem sytuacji opisanej przez Ciebie, być może dlatego, że staram się bardzo rzadko instalować gotowe pakiety (chyba , że są tylko binarki lub nie mam zbytnio czasu i potrzebuję coś na "szybko"), zazwyczaj albo sam buduje pakiety albo je przebudowywuje i chyba dobrze mi to robi bo zawsze sobie mogę zooptymalizować je pod konkretna maszynę.

 

Być może ktoś z grupowiczów spotkał się z podobnym przypadkiem jak ten Twój. Zasięgne przy okazji jeszcze jezyka u swoich znajomych wyjadaczy być może oni coś podobnego przezyli.

 

Pozdr,

K.

[Krzywy]

Przypomniało mi się:

 

A nie robiłeś ostatnimi czasy upgrade glibców? Którą masz ich wersje i którą wersje (_rpma_ → RPM-a) ORT?

 

Pozdr,

K.

[mariusz]

Przypomniało mi się:

 

A nie robiłeś ostatnimi czasy upgrade glibców? Którą masz ich wersje i którą wersje (_rpma_ → RPM-a) ORT?

 

Pozdr,

K.

 

Dotyczy to różnych maszyn wieć wersje mogą być różne na każdej z nich - było to robione w różnym czasie.

 

Ale masz tu rację - na wszystkich maszynach był robiony upgrade glibców i rpm'a - jakiś pomysł ?

[marcYr]

najczęstrzym przypadkiem powodującym zablokowanie bazy rpm i jej uszkodzenie - jest jakaś przerwa w działaniu programu rpm w trakcie instalacji pakiertu ...

Zdażyło Ci się to?

 

* Sprawdziłeś baze? (aby mieć możliwiość skonkretyzowania problemu) (wiem że to głupie pytanie - tak więc, ewentualnie je zignoruj ... )

 

* może wystarczy tylko odblokowanie bazy ....

 

* a jak nie, to jest możliwość jeszcze odbudownia bazy ....

 

 

Co do problemów powodujących owe uszkodzenia (bo to w sumie jest istota tego tematu ) - to oprócz tego, o czym już rozmawialiście powyżej, przychodzi mi tylko to o czym sam pisałem powyżej ...

 

 

pozdr

[mariusz]

Poprzednie pytania zostały zignorowane

 

* a jak nie, to jest możliwość jeszcze odbudownia bazy ....

 

Co do problemów powodujących owe uszkodzenia (bo to w sumie jest istota tego tematu ) - to oprócz tego, o czym już rozmawialiście powyżej, przychodzi mi tylko to o czym sam pisałem powyżej ...

pozdr

 

Na odbudowanie bazy zawsze się to kończyło

 

Próbuję dojść przyczyny i pamiętam że problem wysypał mi się lawinowo po instalacji jakiegoś pakietu - lecz byłem tak zajęty zwalczaniem problemu że nie zweryfikowałem czy to ten pakiet jest winny ( był to chyba gkrellm z freshrpms.net )

 

Tym na co chciałem zwrócić uwagę, była potencjalna możliwość uszkodzenia bazy rpm'a uszkodzonym/złośliwie przygotowanym pakietem. Byłby to bardzo wredny wirus ! Mówię oczywiście o pakiecie który przechodzi --test, instaluje się bez żadnych błędów - a po instalacji baza uszkodzona !

 

Osobiście uważam że coś takiego byłoby błędem obsługi baz rpm'a, ponieważ taka operacja powinna skończyć się komunikatem o błędzie a nie uszkodzeniem bazy.

[marcYr]

Ostatnio miałem kilka przypadków, w których ( tak mi się przynajmniej wydaje )[...]

 

to więc "wydaje" Ci się? czy jesteś pewien? :wink:

 

To musi być wina jakiegoś konkretnego pakietu (pytanie, dlaczego?) a nie błędu bazy ... jeżeli zdażyło Ci się kilkakrotnie (na jednym lub kilku kompach) "rozwalić" bazę - to zapewne użyłeś konkretnego pakietu musisz tylko wpaść na to - jakiego?

Bo teraz wygląda na to, iz "z uporem maniaka" instalujesz coś bardzo trefnego - nie mam innego wytłumaczenia ... szczególnie że raczej to Tobie się tylko zdaża (ja nie słyszałem o częstych przypadkach - więc to tak ująłem) i to dość często ...

[Krzywy]

Dotyczy to różnych maszyn wieć wersje mogą być różne na każdej z nich - było to robione w różnym czasie.

 

Ale masz tu rację - na wszystkich maszynach był robiony upgrade glibców i rpm'a - jakiś pomysł ?

 

Owszem, zainstalowałes za nowego (_rpma_ → RPM-a) ORT dla glibców, lub za stary rpm dla nowych glibców jak kto lubi w nazewnictwie.

 

[wolna amerykanka ale skuteczna w przypadku jesli nadal masz problem z baza i rpm, w innych przypadkach pamietaj o wlasicym rpm dla wlasciwych glibców]

 

Musisz ściągnąć sobie rpm'a, rozpakować go do katalogu jakiegoś całą jego strukture, najlepiej wszystkie pakiety, czyli devel, build, popt.

Potrzebny będzie też elfutils czy jakoś tak to się zwie i po prostu

potem to ręcznie przekopiować, przebudować baze, i dopiero normalnie przez rpm'a upgrednać rpm'a

 

 

;-PPP

 

Pozdrawiam.

K.

 

ps. czasem upgrade bez głowy powoduje takie problemy ;PPPPPPP

[złośliwy]

;-PP

[Krzywy]

To musi być wina jakiegoś konkretnego pakietu (pytanie, dlaczego?) a nie błędu bazy ...

 

juz pisałem mu wyżej rpm + glibc ;PP to częsta przyczyna ;PP

[mariusz]

To musi być wina jakiegoś konkretnego pakietu (pytanie, dlaczego?) a nie błędu bazy ...

 

juz pisałem mu wyżej rpm + glibc ;PP to częsta przyczyna ;PP

 

WIEM ŻE JEST TO WINA PAKIETU !

 

NIE INSTALUJĘ GO Z UPOREM MANIAKA TYLKO DLATEGO ŻE MI SIĘ PODOBA !

 

Problem nie jest w pakiecie, który mi się źle instaluje i z tego powodu jest mi przykro, ani w błędnej kombinacji/wersji glibc/rpm.

 

Przeczytajcie mój post jeszcze raz - chodzi o to, że wypuszczenie odpowiednio spreparowanego pakietu.rpm może działać jak wirus - tzn. uszkadzać bazy rpm, przed czym nie będziemy w stanie się zabezpieczyć, poniaważ --test nic nam nie powie przed instalacją.

 

I tu obawiam się słabości rpm'a - że nie jest zabezpieczony przed tego typu działaniem.

 

Dla mnie efekt jest taki sam, jakby wpisanie magicznego tekstu w edytor tekstu powodowało uszkodzenie tego edytora i konieczność jego reinstalacji !

 

Pakiet może namieszać w zależnościach - ponieważ właśnie zależności są pochodnymi pakietu - NIE POWIENIEN MIEĆ JEDNAK PRAWA USZKODZIĆ BAZY !

[marcYr]

[...]

 

Przeczytajcie mój post jeszcze raz - chodzi o to, że wypuszczenie odpowiednio spreparowanego pakietu.rpm może działać jak wirus - tzn. uszkadzać bazy rpm, przed czym nie będziemy w stanie się zabezpieczyć, poniaważ --test nic nam nie powie przed instalacją.

 

I tu obawiam się słabości rpm'a - że nie jest zabezpieczony przed tego typu działaniem.

 

Dla mnie efekt jest taki sam, jakby wpisanie magicznego tekstu w edytor tekstu powodowało uszkodzenie tego edytora i konieczność jego reinstalacji !

 

Pakiet może namieszać w zależnościach - ponieważ właśnie zależności są pochodnymi pakietu - NIE POWIENIEN MIEĆ JEDNAK PRAWA USZKODZIĆ BAZY !

 

No ale na początku Twoje posty miałe zdecydowanie inny charakter zanim 'skręciły' w stronie rozważania o potencjalnym zagorżeniu zwanym "wirus rpm" :mrgreen:

A co do Twoich przemyślen - to masz rację - ale czyż nie po to jest suma kontrolna (którą zawsze możesz sprawdzić ).

Generalnie zasadą jest aby ściągać pakiety z "zaufanych" miejsc - a poza tym sprawdzać sumy kontrolne... które wskazują na ewentualne "zmiany" w odniesieniu do oryginału ...

 

Ale - fakt -niebezpieczeństwo 'technicznie' istnieje - ale nic nie jest doskoanłe....

 

Ale dochodząc do sedna (nareszcie :mrgreen:) chciałem się z kolegą nie zgodzić , iż nie istnieją żadne zabezpieczenia pakietów rpm - bo takowe istnieją właśnie w postaci możliwości weryfikacji (cytowanych ju ż kilkakrotnie) sum kontrolnych ....

 

ale się zapętliłem .. .. symy kontrolne, ... sumy kontrolne,... sumy kontrolne ... zaraz dostanę czkawki hehehe

 

pozdrawiam

[mariusz]

No ale na początku Twoje posty miałe zdecydowanie inny charakter zanim 'skręciły' w stronie rozważania o potencjalnym zagorżeniu zwanym \"wirus rpm\" :mrgreen:

 

Wybacz Marcyr, ale od dłuższego czasu staram się wytłumaczyć, że nie chodzi mi o jeden pakiecik, który rozwala mi bazę ( stąd duże litery w moim ostatnim poście - widać pomogły :twisted: )

 

Ale w końcu zostałęm zrozumiany

 

A co do Twoich przemyślen - to masz rację - ale czyż nie po to jest suma kontrolna (którą zawsze możesz sprawdzić ).

Generalnie zasadą jest aby ściągać pakiety z \"zaufanych\" miejsc - a poza tym sprawdzać sumy kontrolne... które wskazują na ewentualne \"zmiany\" w odniesieniu do oryginału ...

 

Ale - fakt -niebezpieczeństwo 'technicznie' istnieje - ale nic nie jest doskoanłe....

 

Ale dochodząc do sedna (nareszcie :mrgreen:) chciałem się z kolegą nie zgodzić , iż nie istnieją żadne zabezpieczenia pakietów rpm - bo takowe istnieją właśnie w postaci możliwości weryfikacji (cytowanych ju ż kilkakrotnie) sum kontrolnych ....

 

Tu ja się chciałem z kolegą nie zgodzić - nie zgadzam się że kolega mnie nie rozumie :evil:

 

Nie chodzi mi o zabezpieczenie pakietu - suma CRC, zależności - wszystko cacy - pakiet mamy bezpieczny.

( Niezrozumienie może wynikać z błędnego tematu - powinno być spreparowany zamiast wadliwy - może byłoby jaśniejsze

 

Chodzi mi o sytuację, gdy dane zawarte w pakiecie mogą uszkodzić bazę rpm - analogia:

Mamy program sprzedażowy - oparty na bazie danych ( jak nasza rpm ) - są sobie ludziki które wklepują dane - dane to pakiety - i nagle wklepanie kombinacji:

Firma XYZ kupuje 1024 kubki kawy ABC - rozsypuje bazę danych !

Oczywiście FIRMA XYZ jest prawidłowa ( prawidłowa suma CRC pakietu )

1024 - prawidłowa wartość - mamy ją na magazynie, klient ma pieniązki aby ją kupić - prawidłowe zależności pakietu

 

A po wklepaniu tych danych - baza rozsypana ! NIe jest to sytuacja normalna ani dopuszczalna !

 

P.S. Nasze niezrozumienie być może wynika z faktu, że rpm ma tu wiele znaczeń

[Krzywy]

oj "margggiusz" "marggiusz" raz piszesz tak raz piszesz tak jak już jeden z poprzedników zauważył, napisałem na cześć Twoich pytań zgodnie z tym jak to zrozumiełam a Ty jak to napisałeś.

 

Jeśli chodzi Ci znowu o jakis "defekt" pakietu "preparację" lub innego tego typu "cuda wianki" to po częśi wątpie żebyś się przed tym zabezpieczyl jakos.

 

tfu to jest roziwazanie: " NIe instalowac pakietów" - ;-)))))) bedziesz miał z głowy, bo cieżko dociec czy paczka jest ok czy tez nie, omojajac juz to co powiedzial yr ( sumy, pakiet podpisany i certyfikowany : md5, gpg itp)

 

Jednakze szczerze powiedziawszy nie instaluje pakietów ktore sa dla mnie w dziwnych miejscach, ftp'ach i od dziwnych typów starm sobie zrobic je sam aplikujac patche i ewentulanie nowa wersje tar-gz'a danego programu. Po drugie jeszcze mi sie nie zdarzylo to o czym piszesz albo zakladasz tak czarny scenariusz, chociaz i tego nigdy nie nalezy wykluczyc ze jesli nie bylo to nie bedzie,

 

;-)))

 

Pozdr,

K.

 

ps. Nie zlość się tak, bo szkoda nerwów na byle drobnostki, włóz sily w budowe wlasnych pakietów hehehe ;-)