Debian Etch: suhosin lässt sich nicht installieren

[StephenKing]

Hallo liebe Forumsgemeinde,

nachdem ich gestern eine neue VPS bekommen habe, habe ich begonnen, das Debian Etch etwas zu tunen .

Nach der Anleitung unter How To Harden PHP5 With Suhosin (Debian Etch/Ubuntu) - Page 2 | HowtoForge - Linux Howtos and Tutorials wollte ich den Suhosin-Patch aus dem Hardened-PHP-Projekt einbinden.
Dass die beschrieben Methoder wieder dotdeb-Packages erzeugt finde ich sehr schön, da ich auf meiner anderen VPS ein wenig Chaos habe mit neueren Apache-Modulen (selbstkompiliert) und älterem CLI (aus Sarge).

Der Patch lässt sich problemlos anwenden (wirklich keine Fehlermeldung), nur das dpkg-buildpackage schlägt dann fehl:

->119-CVE-2007-1887-1888-MOPB-41.patch:
patching file ext/sqlite/sess_sqlite.c
patching file ext/sqlite/sqlite.c
patching file ext/sqlite/sess_sqlite.c
patching file ext/sqlite/sqlite.c
->119-CVE-2007-1889-MOPB-44.patch:
patching file Zend/zend_alloc.c
Hunk #1 FAILED at 383.
Hunk #2 succeeded at 1156 (offset 70 lines).
Hunk #3 succeeded at 1259 (offset 75 lines).
Hunk #4 succeeded at 1270 (offset 75 lines).
Hunk #5 succeeded at 1291 (offset 75 lines).
Hunk #6 succeeded at 1486 (offset 87 lines).
Hunk #7 succeeded at 1583 (offset 97 lines).
Hunk #8 succeeded at 1592 (offset 97 lines).
Hunk #9 succeeded at 1606 (offset 97 lines).
1 out of 9 hunks FAILED -- saving rejects to file Zend/zend_alloc.c.rej
make: *** [patch-stamp] Error 1

Was mich etwas verwundert ist, dass mir "apt-get source php5" immer php5_5.2.0-8+etch5 holt, auf dem System aber (das aktuelle) php5_5.2.0-8+etch7 installiert ist. Trotzdem denke ich mal nicht, dass das einen Unterschied macht, denn die Sourcen selbst sind ja die gleichen.

Hat jemand von euch eine Idee, warum der Patch in zend_alloc.c fehlschlägt bzw. noch besser, was ich tun könnte *g*

Riesen Dank,

Steffen

 

[StephenKing]

Ich hab jetzt einfach mal den fehlschlagenden Patch aus dem Verzeichnis debian/patches genommen und jetzt läufts.

Sollte ja jetzt keine größeren Probleme verursachen, oder (außer natürlich es passiert genau das, wogegen der Patch war - aber das scheint ja eh etwas mit Speicheranforderung > 2GB zu sein).

Von daher wiege ich mich jetzt mal in Sicherheit. OK, oder?

Steffen

 

[amnesie]

schonmal das php5-suoshin Paket probiert?

joerg@kerberos ~ $ aptitude show php5-suhosin
Paket: php5-suhosin
Neu: ja
Zustand: Installiert
Automatisch installiert: nein
Version: 0.9.12-1etch1
Priorität: optional
Bereich: web
Verwalter: php-suhosin maintainers <php-suhosin-maintainers@ned.snow-crash.org>
Unkomprimierte Größe: 217k
Hängt ab von: libc6 (>= 2.3.6-6), phpapi-20060613+lfs
Beschreibung: advanced protection module for php5
 This package provides a module for suhosin functions.

 Suhosin is an advanced protection system for PHP installations. It was designed to protect servers and users from known and unknown flaws in
 PHP applications and the PHP core. Suhosin comes in two independent parts, that can be used separately or in combination. The first part is
 a small patch against the PHP core, that implements a few low-level protections against bufferoverflows or format string vulnerabilities and
 the second part is a powerful PHP extension that implements all the other protections.

 Homepage: <http://www.hardened-php.net/suhosin/>

joerg@kerberos ~ $

 

[StephenKing]

Das wird ja in der Anleitung auch installiert (auf Seite 1). Von daher bin ich davon ausgegangen, dass das nicht gleich ein fertig gepatchtes PHP installiert (und wenn ich mir die Dateiliste ansehen, bin ich weiterhin dieser Meinung: Debian -- Debian package contents search results ))