Sabayon Community

[gladius257]

Rieccomi,

Situazione attuale. Sabayon 9 Gnome Ed. installata dieci giorni fa da iso ufficiale ( non Daily).
Uso entropy/equo per installare i soft.

Leggendo la man page di equo mi è sorto un dubbio:
1) per aggiornare i pacchetti basta equo update && equo upgrade. Giusto?
Poi vedo però che è presente un'opzione apposita di equo per trattare gli aggiornamenti di sicurezza rigurdanti gli avvisi
GLSA

Domanda: i pacchetti relativi a GLSA devono necessariamente essere aggiornati tramite
equo security update
equo security install
o si puo' usare anche emerge?

In particolare ho provato oggi ad eseguire gli ultimi due comandi e mi trova un agg necessario

Code: Select all

# > equo security update
# > equo security list --affected
[GLSA:201203-08:A][<1.1.26-r3] dev-libs/libxslt: libxslt: Denial of Service
# > equo security install --ask
>>  @@ Risorse sbloccate, andiamo!
>>  @@ Calcolo degli aggiornamenti di sicurezza...
>>  @@ Questi sono i pacchetti scelti:
>>    # (1/1) [sabayon-weekly] dev-libs/libxslt-1.1.26-r2
>>     Versioni: 1.1.26-r2 / NoTag / 0 ===> 1.1.26-r2 / NoTag / 0
>>    Azione:       Reinstalla
>>  @@ Pacchetti coinvolti: 1
     Vuoi continuare con il calcolo delle dipendenze ? [Si/No] Si
>>  @@ calcolo delle dipendenze ...
>>  @@ Questi sono i pacchetti che verrebbero installati:
>>  ## [R] [sabayon-weekly] dev-libs/libxslt-1.1.26-r2|0   [1.1.26-r2|0]
>>  @@ Pacchetti che richiedono di essere installati/aggiornati/retrocessi: 1
>>  @@ Pacchetti da rimuovere: 0
>>  @@ Pacchetti da installare: 0
>>  @@ Pacchetti da reinstallare: 1
>>  @@ Pacchetti da aggiornare: 0
>>  @@ Pacchetti da retrocedere: 0
>>  @@ Dimensione download: 0b
>>  @@ Spazio su disco liberato: 0.0b
>>  @@ Hai bisogno di almeno: 1.0MB di spazio libero
     Vuoi eseguire la coda ? [Si/No] Si
>>  :: (1/1) >>> 1 package
>>    ## Firma pacchetto combaciante: dev-libs:libxslt-1.1.26-r2~0.tbz2
>>  ++ (1/1) >>> dev-libs/libxslt-1.1.26-r2
>>    ## Scompattamento: dev-libs:libxslt-1.1.26-r2~0.tbz2
>>    ## SPM: fase setup
>>    ## Installazione pacchetto: dev-libs/libxslt-1.1.26-r2
>>    ## [XSLT libraries and tools]
>>    ## Aggiornamento database: dev-libs/libxslt-1.1.26-r2
>>    ## Pulizia dei dati dell'applicazione precedente.
>>    ## SPM: fase post-remove
>>> Regenerating /etc/ld.so.cache...
>>    ## SPM: fase post-install
 * Compilation and optimization of Python modules for CPython 2.7 ...                                                                               [ ok ]
>>    ## Pulizia: dev-libs/libxslt-1.1.26-r2
>>  @@ Installazione completata.


provo a dare equo security install
installa il pacchetto ma se eseguo .......list --affected nuovamente riottengo l'output di prima
in pratica mi ha aggiornato il pacchetto reinstallandomi la stessa versione che avevo io.

Ho controllato: il pacchetto dev-libs/libxslt presente sui repo sabayon-weekly è la versione 1.1.26-r2 del 2011-08-19 mentre quello presente sul repo gentoo è 1.1.26-r3 del 2012-04-26.

Come mai non è stato aggiornato sui repo sabayon? E' il normale iter di rilascio o sono io che non ho capito bene come applicare gli agg. di sicurezza (probabile)

In definitiva quindi per gli updates di sicurezza devo usare entropy o vado di emerge? In questo ultimo caso dovrei poi
eseguire

Code: Select all

# > equo rescue spmsync
# > equo mask dev-libs/libxslt


per far sapere a entropy che ho installato un pacchetto con emerge e impedirgli fare un downgrade se lanciassi un equo update/upgrade?

[belcocco]

Per quello che so io, in generale, quando l'utente si accorge che sui repo di gentoo ci sono pacchetti più recenti e li vuole installare è libero di farlo. Certo che solitamente questo non capita, nella maggior parte dei casi i pacchetti sui repo di sabayon sono o uguali di versione o di versione maggiore.
In questo caso, stando a quello che hai potuto verificare, si tratta di un pacchetto di sicurezza che sarà sfuggito agli sviluppatori/impacchettatori di sabayon. Si potrebbe evidenziare la cosa su bugzilla (http://bugs.sabayonlinux.org/) e poi aspettare l'aggiornamento,
OPPURE
puoi installare con emerge e poi dare i comandi che hai evidenziato per informare entropy che è stato fatta questa operazione.
A te la scelta.
Ciao

[Sad]

Ciao anche per me sono poco chiari gli avvisi sulla sicurezza. Prima li visualizzavo con Sulfur e li correggevo tramite emerge e rescue spmsync senza mascherare nulla. Nutro, però, delle perplessità sull'utilità di ciò visto che rigo manca totalmente di una sezione per la sicurezza.

[sabayonino]

in linea di massima è una opazione "irrilevante" . considera che il pacchetto "infetto" viene corretto quasi subito.
, i GLSA seguono quelli di Gentoo : http://www.gentoo.org/security/en/glsa/index.xml

gli ultimi li ritrovi anche nella homepage http://www.gentoo.org/

[gladius257]

Grazie per i suggerimenti ho risolto così:

Code: Select all

# > emerge --sync
# > emerge libxslt
# > equo rescue spmsync
# > equo mask libxslt


Ho una domanda a questo punto.
Ci sono controindicazioni nell'usare solamente emerge non modificando make.conf ?
Nel caso in cui usi esclusivamente emerge conviene di piu' usare:
emerge -1 <pacchetto> (evitando che venga inserito in world)
oppure
emerge <pacchetto>
Abbiate pietà sto ancora cercando di raccapezzarmi con i gestori di pacchetti di gentoo/sabayon.