[Postfixbuch-users] kaputte ZIP-Archive und Debian/stable

Stefan Förster cite+postfix-buch at incertum.net
Di Jul 28 14:17:44 CEST 2009


Hallo Welt,

was mir gerade aufgefallen ist: Vor einiger Zeit ging ja dieser "Bug"
in Clamav um die Welt, weil das Ding in der 0.95.1 bestimmte
manipulierte ZIP-Archive nicht auspacken konnte. Mittlerweile gibt es
ja, dank "volatile", selbst für Debian/lenny neue Pakete und dieses
Problem stellt sich so nicht mehr - wenn denn der Inhalt der ZIP-Datei
von clamav als bösartig erkannt wird.

Wird der Inhalt nämlich nicht erkannt, dann beschwert sich zwar z.B.
amavisd-new im Log auch schön, daß er gerne mindestens Version 2.0.17
von Compress::Raw::Zlib hätte, in lenny ist aber normalerweise nur
2.0.12 zu finden (im Paket libcompress-raw-zlib-perl). Direkte Folge
davon ist, daß ich beliebige Executables in ein derartiges ZIP-Archiv
einpacken und schicken kann.

Hier wäre dann glaube ich mal ein Update per Hand anzuraten, entweder
man baut sich die Sourcen aus unstable oder man setzt ein beherztes
"dh-make-perl --core-ok --cpan Compress::Raw::Zlib" ab (und folgt zum
Bauen des Pakets mit "debuild" dann der Manpage!).

Für diejenigen, die, äh, "abenteuerlustig" genug sind, solche Pakete
aus Drittquellen zu ziehen habe ich die Versionen für i386 und amd64
unter http://www.incertum.net/~cite/libcompress-raw-zlib-perl.tar.gz
abgelegt.


Ciao
Stefan
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9
"Optimisten leben länger", las der Pessimist und nickte: "Geschieht ihnen ganz recht"



Mehr Informationen über die Mailingliste Postfixbuch-users