Glibc, PaX i problemy ...

[Kosmo]

Witam.

Jakiś czas temu pisałem na liście że po upgradzie glibc'a rozwaliło mi 
maszykę. Sprawa została zbadana:

Nowy glibc zaczął respektować flagi w nagłówku PT_GNU_STACK bibliotek.
Między innymi jest tam informacja czy dana biblioteka ma mieć wykonywalny 
stos. Część binarek u nas chce mieć taki fikuśny stos (np. libgcrypt), co 
powoduje wywalenie się programu podczas ładowania bibliotek dzielonych (glibc
wykonuje mprotect(), który zwraca EPERM) i ogólną rozwałkę systemu.

Na wcześniejszym glibcu takich negatywnych efektów nie zaobserwowałem 
(wszystko miało non-exec na stosie i restrykcje na mprotect()), a na nowym po 
wyczyszczeniu tej fagi na wszystkich bibliotekach za pomocą execstack 
wszystko pięknie hula. Proponuję więc, aby czyścić tą flagę podczas budowania 
rpm'ów.

Nie powinno to mieć jakichś ujemnych skutków na maszynie bez PaX'a, a na 
serwerach bym się nie bał poldka uruchamiać.

Pozdrawiam.
Piotr Zięcik.