Update gcc/g++ unter Debian Squeeze?

[Exxter]

Hi,
ich habe mir den Kernel 3.2.16 mit grsecurity unter einem Debian Squeeze 64bit gebaut. Beim kompilieren des Kernels (mit original gcc/g++ aus Debian) kommt folgende Meldung:

Code: Alles auswählen

warning, your gcc version does not support plugins, you should upgrade it to gcc 4.5 at least
PAX_MEMORY_STACKLEAK and other features will be less secure

Jetzt habe ich nach einem Backport von gcc >=4.5 auf Squeeze gesucht aber nichts gefunden.

Meine Frage ist also, ist es ratsam und sinnvoll, gcc/g++ auf eine aktuellere Version zu updaten oder macht das mehr Schaden als Nutzen? Da gcc/g++ keine Programme sind die nach draussen lauschen sollte es sicherheitstechnisch kein Problem sein auf einem Root-Server, oder? Und wenn, wie mache ich es am besten ohne selbst compilieren?

[Natureshadow]

Hi,

das Sicherheitsproblem ist bei einem Kompiler istn icht, dass er remote angreifbar sein könnte, sondern dass er u.U. kaputten Code erzeugt, der angreifbar ist.

Wenn du upgradest, musst du natürlich den Rest der Toolchain und vor allem deine libc mitziehen.

-nik

[schorsch_76]

Du kannst dir gcc-4.7 selbst übersetzten. Hab das neulich erst gemacht.

Hab das hier gefunden [1] und in ein Script gepackt.

Gruß
schorsch

[1] http://nosemaj.org/debian-gcc-4-7

Code: Alles auswählen

# http://nosemaj.org/debian-gcc-4-7
# wget http://bugseng.com/products/ppl/download/ftp/releases/LATEST/ppl-0.12.tar.gz
# wget http://www.bastoul.net/cloog/pages/download/count.php3?url=./cloog-0.16.1.tar.gz
# wget http://www.multiprecision.org/mpc/download/mpc-0.9.tar.gz
# wget ftp://ftp.gmplib.org/pub/gmp-5.0.4/gmp-5.0.4.tar.bz2
# wget http://www.mpfr.org/mpfr-current/mpfr-3.1.0.tar.bz2
# wget http://www.netgull.com/gcc/releases/gcc-4.7.0/gcc-4.7.0.tar.bz2

export PROJECT_DIR=/usr/local/

#rm -Rf build
#mkdir build

mkdir $PROJECT_DIR/build/gmp
cd $PROJECT_DIR/build/gmp
../../sources/gmp-5.0.4/configure --enable-cxx --prefix=$PROJECT_DIR/
make -j8 && make install

mkdir $PROJECT_DIR/build/mpfr
cd mkdir $PROJECT_DIR/build/mpfr
../../sources/mpfr-3.1.0/configure \
    --prefix=$PROJECT_DIR/  \
    --with-gmp=$PROJECT_DIR/
make -j8 && make install

mkdir $PROJECT_DIR/build/mpc
cd $PROJECT_DIR/build/mpc
../../sources/mpc-0.9/configure     \
    --prefix=$PROJECT_DIR/   \
    --with-gmp=$PROJECT_DIR/ \
    --with-mpfr=$PROJECT_DIR/
make -j8 && make install

mkdir $PROJECT_DIR/build/ppl
cd $PROJECT_DIR/build/ppl
../../sources/ppl-0.12/configure  \
    --prefix=$PROJECT_DIR/ \
    --with-gmp=$PROJECT_DIR/
make -j8 && make install

mkdir $PROJECT_DIR/build/cloog
cd $PROJECT_DIR/build/cloog
../../sources/cloog-0.16.1/configure \
    --prefix=$PROJECT_DIR/ \
    --with-gmp-prefix=$PROJECT_DIR/
make -j8 && make install

mkdir $PROJECT_DIR/build/gcc
cd $PROJECT_DIR/build/gcc
../../sources/gcc-4.7.0/configure          \
    --prefix=$PROJECT_DIR/    \
    --with-gmp=$PROJECT_DIR/  \
    --with-mpfr=$PROJECT_DIR/ \
    --with-mpc=$PROJECT_DIR/  \
    --program-suffix=-4.7            \
    --enable-cloog-backend=isl       \
    --with-ppl=$PROJECT_DIR/  \
    --with-cloog=$PROJECT_DIR/
 
export LD_LIBRARY_PATH=$PROJECT_DIR/lib/
make && make install

[Exxter]

das Sicherheitsproblem ist bei einem Kompiler istn icht, dass er remote angreifbar sein könnte, sondern dass er u.U. kaputten Code erzeugt, der angreifbar ist.

Wenn du upgradest, musst du natürlich den Rest der Toolchain und vor allem deine libc mitziehen.

ja, hab ich gemerkt. Ich werd das erstmal lassen mit dem updaten.

Danke euch!